ASA failover --AA

一、A/A Failover  介紹安全

  安全設備能夠成對搭配成A/A的FO來提供設備級的冗餘和負載分擔。blog

  兩個設備在互爲備份的同時,也能同時轉發流量。接口

  使用虛擬子防火牆是必須的,子防火牆被歸爲兩個FO組。事件

  一個物理防火牆只會在一個FO組中成爲active。路由

二、A/A Failover對負載的處理部署

  負載分擔不相干的流量it

    每個物理設備都有一個這樣的active子防火牆ast

    路由指向active的子防火牆,這些子防火牆分佈在兩個物理設備配置

  負載分擔相關流量路由器

    每一個物理設備都有一個這樣的active子防火牆

    在鄰近的路由器設備上必須分割流量到兩個物理設備上的兩個active子防火牆上

    返回流量必須特殊處理

三、Active  context 的選舉

  當一個安全設備啓動後,它開始一個FO選舉過程

    當在FO接口檢測到一個正在協商的設備,本地FO組配置的Primary設備將變成active

    若是它檢測到一個設備在兩個組中都是active,那它沒有檢測到設備,它在兩個FO組將變成active

  若是兩個牆中有一個不健康,那麼健康的子牆在一個FO組裏將成爲active。

四、Failover切換事件

  FO出如今設備或子防火牆級別上

  當一個物理防火牆的一個組內的actvie成員出現故障,另外一個物理防火牆的standby成員將變成active

  安全設備單元優先級不會改變

  切換髮生後,IP和MAC地址在組成員之間被切換

五、Failover的鏈路類型

  FO鏈路

  狀態化鏈路

  兩個Failover鏈路在系統執行空間裏配置

六、A/A的Failover部署方針

  部署方針和A/S高可用性FO基本同樣

  要求和限制通A/S高可用性FO同樣,下面羅列了額外的問題:

    A/A的FO只有設備是多模模式纔可以使用,透明牆的限制

      DHCP reley

      Dynamic routing protocols

      Dynamic DNS

      Multicast IP routing

      Quality of Service

  ASA505不支持A/A的Failover

相關文章
相關標籤/搜索