ASA双主Failover配置操作

1、For pers onal use only in study and research; not for commercial useASA Active/Acitve FO注：以下理论部分摘自百度文库:ASA状态化的FO配置，要在物理设备起用多模式，必须创建子防火墙。在 每个物理设备上配置两个 Failover组（failover group），且最多配置两个。Failover特性是Cisco安全产品高可用性的一个解决方案，目的是为了提供不 间断的服务，当主设备down掉的时候，备用设备能够马上接管主设备的工作， 进而保持通信的连通性；Failover配置要求两个进行Failover的设备

2、通过专用的 failover线缆和可选的Stateful Failover线缆互相连接；活动设备的接口被 monitor， 用于发现是否要进行 Failover切换Failover分为failover和Stateful Failover，即故 障切换和带状态的故障切换。不带状态的failover在进行切换的时候，所有活动的连接信息都会丢失，所 有Client都需要重新建立连接信息，那么这会导致流量的间断。带状态的failover，主设备将配置信息拷贝给备用设备的同时，也会把自己 的连接状态信息拷贝给备用设备，那么当主的设备down的时候，由于备用设备上保存有连接信息，因此Client不需要重新

3、建立连接，那么也就不会导致流量的 中断。Failover link两个failover设备频繁的在failover link上进行通信，进而检测对等体的状态。 以下信息是通过failover link通信的信息：？设备状态（active or standby）; ?电源状态（只用于基于线缆的failover；） ?Hello messages （keep-alives ;Network link 状态；MAC地址交换；？配置的复制和同步；（Note :所有通过failover和stateful failover线缆的信息都是以明文传送的， 除非你使用failover key来对信息进行加密；）

4、Stateful link在stateful link上，拷贝给备用设备的连接状态信息有：？NAT转换表；？TCP连接状态；？UDP连接状态；？ARP表 ?2层转发表（运行在透明模式的时候）？HTTP连接状态信息（如果启用了 HTTP复制）？ISAKMP和 IPSec SAg?GTP PDP连接数据库以下信息不会拷贝给备用设备： ?HTTP连接状态信息（除非启用了 HTTP复制）？用户认证表（ uauth ） ?路由表?DHCP服务器地址租期Failover包括 LAN-Based Failove和 Cable-Based Failove;对于 PIX设备，只支 持基于线缆（Cable-Bas

5、ed 的 Failover；Failover linkLAN-BasedFailover link 可以使用未使用的接口来作为 failover link。不能够 使用配置过名字的接口做为failover接口，并且，failover接口的IP地址不能够直 接配置到接口上；应使用专门的命令对其进行配置；该接口仅仅用于 failover 通 信；两个 failover 接口之间必须使用专用的路径，如，使用专用的交换机，该交 换机上不连接任何其他设备；或者使用正常交换机的时候，划一个VLAN,并且仅仅将failover接口划分到该VLAN中；Cable-Based Failover link 这种

6、failover 对两个 failover 设备的距离有要求， 要 求距离不能超过6英尺；并且使用的线缆也是failover线缆，该线缆的一端标记“Primary”，另一端标记“ Secondary”并且设备的角色是通过线缆指定的，连接 在Primary端的设备被指定为主，连接在 Secondary端的设备被指定为备；该线 缆传送数据的速率为115Kbps；因此同步配置的速度相比LAN-Base的failover会 慢；Stateful Failover Link如果使用带状态的Failover，那么就需要配置一个用于 传送状态信息的线缆， 你可以选用以下三种线中的一种作为 stateful

7、failover link： 用专用的接口连接 Stateful failover Link； ?使用 LAN-Basedfailover，你也可以使用 failover link 作为 stateful failover link，即failover和stateful failover使用同一个线缆；要求该接口是fastest Ethernet； ?你也可以使用数据接口作为 Stateful Failover接口，比如in side in terface。 但是不推荐这样做；每种 failover 又包含有 Active/Active （以后简写为，A/A）和 Active/Standby

8、（以后简写为A/S）两类；A/A failover，两个设备可以同时传送流量。这可以让你实现负载均衡。A/Afailover 只能运行在多虚拟防火墙模式下。A/S failover，同一时间，只能有一个设备传输流量，另一个设备作为备份用， A/S failover即可以运行在single模式下，又能够运行在多模式下；运行 failover 的两个设备，在硬件配置上要完全一样 ，比如必须要有相同的 模块，相同的接口类型和接口数，相同的flash memory以及相同的RAM等；在软件上，两个设备要运行在相同的模式下面， 必须有相同的主软件版本等； 对于 许可证，要求至少有一个设备要是 UR版的许

9、可证；Active/Standby FailoverActive/Standby Failover（A/S）中，一个设备为活动设备，转发流量，另一个 设备作为备份，当主设备 down 的时候，备份设备开始接管流量；备用设备接管 以后，会继承主IP地址和MAC地址，继续转发流量；Primary/Secondary status and Active/Standby Status做F0的两台设备，必须指定一台为 Primary,另一台为SecondaryPrimary和 Secondary是一个物理概念，不会改变。Failover设备之间，主要的不同就是角色问题，即哪个设备为active哪个设备

10、为standby,同时也决定了哪个IP地址以及哪个设备转发流量；？如果两个设备同时启动，那么配置为 primary 的设备为 active； ?Primary设备的MAC地址总是和active IP地址绑定在一起。唯一的例外就是 当standby设备变为active后，不能够通过failover link上获得primary设备的MAC 地址，那么这时候就使用secondary设备的MAC地址；设备的初始化和配置同步当Failover设备启动的时候，配置才会同步，配置信息总是从active同步到stan dby设备；当sta ndby设备完成初始化以后，它就清除自己的running con f

11、igure（除了 failover命令以外，因为这些命令需要和 active进行failover通信）；Active 选举设备是根据以下情况决定的： ?设备启动后，如果检测到对等体已经存在为active，那么它自己将为standby如果没有检测到对等体存在，那么它将成为 active;如果此时有另外一 个 active 设备连接了进来，那么这两个 active 设备将重新协商谁来做 active。 ?如果设备同时启动，那么根据配置中指定的primary和secondary来决定 设备的角色是 active 还是 standby；假设A被指定为primary，B被指定为secondary;当B启

12、动后，没有检测到 A的存在，那么B将为Active，它使用自己的MAC地址和active IP做绑定。然而， 当primary启动可用后，secondary设备将会用primary设备的MAC地址和active IP 绑定，这可能会导致流量的中断；避免方法是可以配置 failover 虚拟 MAC 地 址；#failover mac address Inside 0000.0000.0001 0000.0000.0002（注：0000.0000.000.1 是 activer 的 MAC,0000.0000.0002是 standby 的 MAC, 只能在A/S的配置下使用此命令，A/A不适合

13、）Failover的触发以下任何一个事件发生时，都会触发Failover： ?设备发生硬件失败或电源故障； ?设备出现软件失败； ?太多的 monitored 接口 fail；No failover active 命令在 active 设备上被输入或在 standby 设备上输入 failover active 命令；Active/Active FailoverA/A failover 只能工作在多虚拟防火墙模式下， 在 A/A failover 模式下，两个设 备都可以转发流量； 在 A/A failover 下，你可以将虚拟防火墙划分到 failover group 中，一个 failov

14、er group 是一个或多个虚拟防火墙集合， 在防火墙上最多只支持 2 个 failover group， admin context 总是属于 failover group 1，任何未分配的虚拟防 火墙默认下也属于 failover group 1；Failover group是A/A failover的基本单元，failover group失败的时候，物理设 备不一定失败； failover 组在一个设备上 fail 了，在另外一个设备上就会 active， 另外设备上的该组就会继续转发流量；在 A/A failover 中， primary/secondary 决定以下两个事情： ?当

15、两个设备同时启动的时候，决定哪个设备提供配置文件信息； ?当两个设备同时启动的时候，决定哪个设备上的哪个failover group为active。 每个 failover group 也会被配置一个 primary 或 secondary, 当两个 failover group 在同一个设备同时为active的时候，那么另一个设备也就为备用设备；每个failover group是否为active,由以下几种情况决定：？当设备启动的时候，没有检测到对等体，那么两个failover group在这个设备 上都为 active； ?当设备启动后，检测到对等体为active（两个failover g

16、roup都在active状态）， 除非以下情况发生，否则 active设备上的两个failover group仍为active状态：failover 发生；使用no failover active命令进行手工切换；配置failover group中带有preempt （抢占）命令；？当两个设备同时启动，在配置同步后，每个failover group在相应的设备中正 常为 active；Failover Health MonitoringASA监视整个设备的health和接口的health情况，下面分别对这两种监视进 行描述；设备 health 监视安全设备通过 monitor failover

17、 link来决定对等设备是否 health。如果设备在 failover link 上没有收到 3 个连续的 hello 报文的时候，那么就在所有接口上发送 ARP请求，包括failover接口。设备下一步所采取的行为，取决于以下的响应情 况： ?如果设备在 failover 接口收到了响应，那么就不发生 failover； ?如果设备在 failover 接口没有收到响应，而在其他接口上收到了响应，那么 不发生failover，设备会将failover接口标记为failed 0 ?如果设备没有在任何接口上收到响应，那么发生 failover 你可以配置发送 hello 包的间隔和发生 fai

18、lover 的 hold time 值，时间越短；接口 health 监视?你可以最多 monitor 250 个接口，如果一个设备在一半的 hold time 时仍没有 从 monitor 接口上收到 hello 报文，那么它将进行以下的 test： ?Link Up/Down 测试测试接口的状态。在开始每个测试之前，设备会清 掉这个接口上收到包的计数器的值， 然后设备看在该接口上是否收到了包， 如果 收到了，则说明接口是好的，那么就开始 network test； ?Network Activity test 网络活动行测试。设备计数 5秒内，该接口收到的 所有的包， 如果 5秒内收到包了

19、， 那么说明接口和网络连接正常， 并停止这个阶 段的测试。如果没有收到流量，那么 ARP test开始；？ARP test读取ARP缓寸中的2个最近的ARP请求条目。然后向这些设备 再次发送ARP请求，发出请求后，设备会计数 5秒内收到的流量，如果收到了 流量，那么就认为接口运行正常；如果没有任何流量收到，那么就向第二个设备 发送ARP请求，如果仍没有流量收到，那么就进行 pingtest； ?广播Ping测试设备发出ping包，然后开始计数5秒内收到的包，如果5秒内收到了 ping响应包，那么认为接口正常并停止测试；如果以上测试都失败， 那么该接口就failover，就发生failover

20、；以下实验，拓扑如下：说明：图中连接ISP和In side的路由器的交换机要划分出几个 via n,具体可 参照图中。两个物理防火墙 ASA-1,和ASA-2分别在每个防火墙上虚拟出两个子防火 墙cl和c2。每个子防火墙关联物理防火墙的两个物理接口。两个物理防火墙的Gi 4和Gi 5 口分别做F0链路口和Stateful链路口。ISP和In side路由器和两个PC的IP如下（PC的IP自动获得，在In side路由 器上做DHCP :名称端口IPISPFa1/0/24Fa2/0/24InsideFa1/054/24Fa2/010.1

21、.2.254/24PC1?/24PC2?/24要求：PC1发起的流量全部经过c1子防火墙nat出去；PC2发起的流量全部经过c2子防火墙nat出去；两个物理防火墙做高可用性FO,当一个物理设备防火墙或者一个 failover组 有故障的时候，流量全部转移到另一个物理防火墙的的failover组。配置：1.1 nside路由器做DHCP Serve并且抓取相应的源做 PBR#ipdhcp pool 1 network default-router#ipdhcp pool 2 network default-router#access-list 101 permit

22、 ip any#route-map 1 permit 10matchip address 101setip next-hop（抓取源地址，并设定它的下一跳是interface FastEthernet0/0ip addressip policy route-map 1（接口调用）#interface FastEthernet0/1ip address#interface FastEthernet1/0ip address#interface FastEthernet2/0ip address#ip routeISP路由器的配置：#interface FastEthernet1/0ip addr

23、ess#interface FastEthernet2/0ip address#ip route#ip route2. ASA的F0和状态化链路配置ASA-1:#mode multiple （切换防火墙到多模式，才可以配置虚拟子防火墙） #interface GigabitEthernet0 （将所有要关联到子防火墙的接口 nono shutdownshutdow n，这里只列举一个）#failover group 1 （配置 failover 组 1） primary （组1在primary物理设备为上开启抢占功能，优先成active.preempt当发生failover，原来由active

24、状态变为standby状态，若此时将 failover 组或者设备变为正常， primary 设备上的加入到组 1 的子防火墙抢占变为 active （这里是c1）。最多创建两个failover group）#failover group 2secondary （组 2 在 secondary 的物理设备上开启抢占功能，优先 preempt成为 active）#admin-context admin （配置管理子防火墙，后面的 admin 可随便写， admin-context 意思是创建管理子防火墙）#context admin（进入 admin 子防火墙配置）config-url disk

25、0:/admin.cfg （配置文件存储目录）#context c1（配置子防火墙，命令名 c1）config-url disk0:/c1.cfg （配置文件储存目录）allocate-interface GigabitEthernetO （关联物理接口 G0.G1 到子墙，这样 在子墙里才能看到有接口，下同）allocate-interface GigabitEthernet1 join-failover-group 1 （将 c1 子墙加入到 failover group 1）#context c2（配置子防火墙，命令为 c2）config-url disk0:/c2.cfg （配置 c2

26、 子墙的文件储存目录） allocate-interface GigabitEthernet2 关联物理接口到子墙） allocate-interface GigabitEthernet3 join-failover-group 2 （将 c2 子墙加入至U failover group 2）#failover lan interface FO gigabitethernet4 （设定 gi4 物理接口为 F0 接口，并且命名为FO （名称随便写）#failover interface ip FO standby （配置 FO链路 IP address设定 gi5 接品为状态化链路接#fail

27、over link Stateful GigabitEthernet5口，命名为 Stateful）#failover interface ip Stateful standby （配置状态化链路 ip address）#failover lan unit primary （配置此物理设备为 primary）#failover key 123456 （可选，配置 failover 认证密码，）#failover （开启 failover 功能）以上为ASA-1物理设备上的配置。接下来配置 ASA-2物理设备上的F0只需 要配置failover相关内容，其他会自动从 ASA-1上同步。ASA-2

28、配置：#show model （查看防火墙是在多模式下还是单模式下）#mode multiple （改变防火墙到多模式下工作）#failoverlan interface FO gigabitethernet4#failover interface ip FO standby#failover link Stateful GigabitEthernet5#failover interface ip Stateful standby#failover lanunit secondary#failover key 123456#failoverASA-2配置完成，完成这些步骤后，两台 ASA开始选

29、举各自的Active还是 Standby。选举完成后ASA-1 的 cl子墙成为Active状态，c2子墙成为Standby状 态，ASA-2的cl子墙成为Standby状态，c2子墙成为Active状态。所有的配置将 在Active角色的子墙上配置，Standby状态的子墙只能查看配置和同步 Active的 配置，并检测 Active 健康状态，做好切换的准备。当F0的连接线出现故障的时候，则此时两个 ASA的两个子防火墙cl和c2 都为 Active。在 ASA-1 上#show failoverThis host:PrimaryGroup 1State:ActiveActive time

30、:297 (sec)Group 2State:ActiveActive time:6 (sec)Other host:SecondaryGroup 1State:FailedActive time:169 (sec)Group 2State:FailedActive time:455 (sec)在 ASA-2上#show failoverThis host:SecondaryGroup 1State:ActiveActive time:197 (sec)Group 2State:ActiveActive time:498 (sec)Other host:PrimaryGroup 1State:

31、FailedActive time: 276 （sec）Group 2 State: FailedActive time: 0 （sec）当 FO 链路恢复正常时再通过抢占恢复各自的是active 还是 standby。3. 配置cl, c2子防火墙的IP和路由，均要在处于 Active状态的子防火墙上 配置，处于Standby状态的不能做任何配置。ASA-1（config）# prompt hostname priority state context（修改“ #”前面的显示字符，在物理设备下配置，这样便于查看）#changeto context c1（切换到 c1 子防火墙进行配置）#in

32、terface GigabitEthernet0 nameif Inside security-level 100 ip address standby#interface GigabitEthernet1 nameif Outside security-level 0 ip address standby#object network net1 subnet nat （Inside,Outside） dynamic （做 NAT 转换，将内部网络为 ，且是 PAT转换）#route Inside （通往内部网络 在另外一台F0设备上：#changeto context c2 （切换到 c2

33、防火墙进行配置）#interface GigabitEthernet2 nameif Inside security-level 100 ip address standby#interface GigabitEthernet3nameif Outside security-level 0 ip address standby#object network net2 subnetnat （lnside,Outside） dynamic （做 PAT地址转换）#route Inside（通往内部网络以上配置完成后，我们来看两个客户端PC1和PC2去访问Outside的路由器ISP,用tel ne

34、t测试，看是否能正常tel net上去。在 PC1 上 telnet在 PC2上 tel net均可以正常访问外部路由器。 那么如何知道负载分担的情况？我们来测试一 下。4. 在PC上用tracert来测试路由。在c1子防火墙上配置：ASA防火墙默认的接口 IP不出现tracert中，所以要做如下配置，让asa的接口 IP在tracert过程中显示出来。#access-list101 extended permit udp any gt 33433 (tracert 用的端口是 UDP大于33433的端口，需要特别放行)#access-list 101 extended permit ip a

35、ny (这里只做测试， 范围放在很大) #class-map tracertmatch access-list 101#policy-map global_policy class tracertset connection decrement-ttl#access-group 101 in interface Inside在 PC1 上查看：同样在 c2 子防火墙上配置#access-list tra extended permit udp any any gt 33433#access-list tra extended permit ip any any#access-group tra in interface Inside#class-map tracert match access-list tra# policy-map global_policy class tracertset connection decrement-ttl在 PC2 上查看：测试FO切换，将上面拓扑的 Fa0/13 口 shutdown 在 Primary 设备上查看#show failoverThis host: PrimaryGroup 1State:Failed(为 failed，原为 Active)Active ti