ASA failover --AA

一、A/A Failover  介紹

　　安全設備能夠成對搭配成A/A的FO來提供設備級的冗餘和負載分擔。

　　兩個設備在互爲備份的同時，也能同時轉發流量。

　　使用虛擬子防火牆是必須的，子防火牆被歸爲兩個FO組。

　　一個物理防火牆只會在一個FO組中成爲active。

二、A/A Failover對負載的處理

　　負載分擔不相干的流量

　　　　每個物理設備都有一個這樣的active子防火牆

　　　　路由指向active的子防火牆，這些子防火牆分佈在兩個物理設備

　　負載分擔相關流量

　　　　每一個物理設備都有一個這樣的active子防火牆

　　　　在鄰近的路由器設備上必須分割流量到兩個物理設備上的兩個active子防火牆上

　　　　返回流量必須特殊處理

三、Active  context 的選舉

　　當一個安全設備啓動後，它開始一個FO選舉過程

　　　　當在FO接口檢測到一個正在協商的設備，本地FO組配置的Primary設備將變成active

　　　　若是它檢測到一個設備在兩個組中都是active，那它沒有檢測到設備，它在兩個FO組將變成active

　　若是兩個牆中有一個不健康，那麼健康的子牆在一個FO組裏將成爲active。

四、Failover切換事件

　　FO出如今設備或子防火牆級別上

　　當一個物理防火牆的一個組內的actvie成員出現故障，另外一個物理防火牆的standby成員將變成active

　　安全設備單元優先級不會改變

　　切換髮生後，IP和MAC地址在組成員之間被切換

五、Failover的鏈路類型

　　FO鏈路

　　狀態化鏈路

　　兩個Failover鏈路在系統執行空間裏配置

六、A/A的Failover部署方針

　　部署方針和A/S高可用性FO基本同樣

　　要求和限制通A/S高可用性FO同樣，下面羅列了額外的問題：

　　　　A/A的FO只有設備是多模模式纔可以使用，透明牆的限制

　　　　　　DHCP reley

　　　　　　Dynamic routing protocols

　　　　　　Dynamic DNS

　　　　　　Multicast IP routing

　　　　　　Quality of Service

　　ASA505不支持A/A的Failover