ASA双主Failover配置操作.docxVIP

ASA Active/Acitve FO 注：以下理论部分摘自百度文库： ASA状态化的FO配置，要在物理设备起用多模式，必须创建子防火墙。在每个物理设备上配置两个Failover组（failover group），且最多配置两个。 Failover特性是Cisco安全产品高可用性的一个解决方案，目的是为了提供不间断的服务，当主设备down掉的时候，备用设备能够马上接管主设备的工作，进而保持通信的连通性；Failover配置要求两个进行Failover的设备通过专用的failover线缆和可选的Stateful Failover线缆互相连接；活动设备的接口被monitor，用于发现是否要进行Failover切换Failover分为failover和Stateful Failover，即故障切换和带状态的故障切换。 不带状态的failover在进行切换的时候，所有活动的连接信息都会丢失，所有Client都需要重新建立连接信息，那么这会导致流量的间断。 带状态的failover，主设备将配置信息拷贝给备用设备的同时，也会把自己的连接状态信息拷贝给备用设备，那么当主的设备down的时候，由于备用设备上保存有连接信息，因此Client不需要重新建立连接，那么也就不会导致流量的中断。 Failover link 两个failover设备频繁的在failover link上进行通信，进而检测对等体的状态。以下信息是通过failover link通信的信息：? 设备状态（active or standby）；? 电源状态（只用于基于线缆的failover；）? Hello messages （keep-alives）； Network link 状态； MAC地址交换；? 配置的复制和同步； （Note ：所有通过failover 和stateful failover线缆的信息都是以明文传送的，除非你使用failover key来对信息进行加密；） Stateful link 在stateful link上，拷贝给备用设备的连接状态信息有：? NAT 转换表；? TCP连接状态；? UDP连接状态；? ARP表? 2层转发表（运行在透明模式的时候）? HTTP连接状态信息（如果启用了HTTP复制）? ISAKMP和IPSec SA表? GTP PDP连接数据库 以下信息不会拷贝给备用设备：? HTTP连接状态信息（除非启用了HTTP复制）? 用户认证表（uauth）? 路由表? DHCP服务器地址租期 Failover包括LAN-Based Failover和Cable-Based Failover；对于PIX设备，只支持基于线缆（Cable-Based）的Failover； Failover link LAN-Based Failover link 可以使用未使用的接口来作为failover link。不能够使用配置过名字的接口做为failover接口，并且，failover接口的IP地址不能够直接配置到接口上；应使用专门的命令对其进行配置；该接口仅仅用于failover通信；两个failover接口之间必须使用专用的路径，如，使用专用的交换机，该交换机上不连接任何其他设备；或者使用正常交换机的时候，划一个VLAN，并且仅仅将failover接口划分到该VLAN中； Cable-Based Failover link 这种failover对两个failover设备的距离有要求，要求距离不能超过6英尺；并且使用的线缆也是failover线缆，该线缆的一端标记“Primary”，另一端标记“Secondary”并且设备的角色是通过线缆指定的，连接在Primary端的设备被指定为主，连接在Secondary端的设备被指定为备；该线缆传送数据的速率为115Kbps；因此同步配置的速度相比LAN-Base的failover会慢； Stateful Failover Link 如果使用带状态的Failover，那么就需要配置一个用于传送状态信息的线缆，你可以选用以下三种线中的一种作为stateful failover link： 用专用的接口连接Stateful failover Link；? 使用LAN-Based failover，你也可以使用failover link作为stateful failover link，即failover和stateful failover使用同一个线缆；——要求该接口是fastest Ethernet；? 你也可以使用数据接口作为Stateful Failover接口，比如inside interface。但是不推荐这样做； 每种failover又包含有Active/Ac