多厂商防火墙系列之六:ASA failover 高可用技术技术【A-S】 | 网络之路博客(公众号同名)(其他平台网络之路Blog)
登录
  • 欢迎网络之路博客网站,分享有用的知识点,公众号:网络之路博客,B站:网络之路Blog
  • 如果您觉得本站对您有帮助,那么赶紧使用Ctrl+D 收藏吧,支持我们下
  • 远程技术支持的淘宝店铺已经开张了哦,传送门:需要的朋友可以点击查看

多厂商防火墙系列之六:ASA failover 高可用技术技术【A-S】

【汇总】多厂商防火墙系列

文档帖子汇总学习视频Book与实验手册学习必备软件
    博主也只是业余时间写写技术文档,请大家见谅,大家觉得不错的话,可以推荐给朋友哦,博主会努力推出更好的系列文档的。如果大家有任何疑问或者文中有错误跟疏忽的地方,欢迎大家留言指出,博主看到后会第一时间修改,谢谢大家的支持,更多技术文章尽在网络之路博客,http://ccieh3c.com

简介

Failover的意思就是故障移除,它非常类似与HSRP与VRRP一样,是一个冗余备份的技术,它当主用down了以后自动切换到备用那边

failover分为Aactive/standby和Aactive/Active,还有一种区分就是hardware failover,和stateful failover.
1、Aactive/standby 就想HSRP一样,主用down了情况下,备用才会转发数据

2、Aactive/Active 它必须结合之前说的context配合使用,虚拟多个防火墙, 就像下面的图,Cisco-primary虚拟了两个context 1 和2,secondary也虚拟了两个 context 1 2 ,在这里Cisco-primary的1为active,secondary的1为stadnby。Cisco-primary的2为standby ,secondary的2为active,这样无论哪边Dwon了,直接切换到另外一边进行流量的转发,A/A实现了两个防火墙都转发流量,而不是空闲备用。

 image001.jpg

3、hardware failover,和stateful failover. 前者是只备份配置,不做其余的备份,而后者会备份配置的同时,把状态化信息也备份了,比如TCP的会话。这样当实现切换的时候,而不会断开TCP的连接。

failover注意的几点是:1、关于两个firewall的硬件和软件型号和版本保持一直,还有授权信息,否则做failover会失败。、
2、PIX支持cable serial 与 LAN-Based 来作为两个firewall的连接
3、ASA只支持LAN-Based
cable serial 的特点就是:能很好的监控双方的状态,比如对方没有插电源、或者线缆没有插上,也能很快检查到双方的链路是否正常,缺点就是距离短,好像只有1.5米的距离
LAN-Based:就是我们常用的双绞线,它就是距离长,但是没有cable serial 那么好的功能。

探测的机制:1、检查到链路down了
2、这个接口是否还收到数据包,那么会查看ARP表,最近10个ARP的映射,在发送ARP去请求是否有回应,如果没回应,最后就做个广播ping。如果还没有人回应就让secondary成为主。

failover切换机制与HSRP不同的是,HSRP是虚拟一个VIP和MAC地址来作为GW转发,而failover两边都是用真实的地址,PC的网关都指定主用那边,当主用down了以后,备用那边会自动继承主用的IP和MAC地址转换,来达到效果。

 image002.jpg

这里就需要三个接口,一个作为failover两边专用协商的,另外两个就是正常转发流量的, 在官方建议是failover的连接用一个单独的交换机来连接,并且failover和stateful可以使用同一个接口作为备份配置和状态。 这里做这个环境的话,记得连线的时候 把接口都记录下来,并且记录是作为什么使用的。不然后面根本就不好区分了。

先做基本配置,VLAN的划分,基本IP配置

Cisco-SW(config)#vlan 2
Cisco-SW(config-vlan)#name Failover
Cisco-SW(config-vlan)#vlan 3
Cisco-SW(config-vlan)#name Cisco-Outside
Cisco-SW(config-vlan)#vlan 4
Cisco-SW(config-vlan)#name Cisco-Inside

关于failover的VLAN划分,可以根据拓扑来

Cisco-SW(config)#int range f1/0 – 1
Cisco-SW(config-if-range)#switchport mode access
Cisco-SW(config-if-range)#switchport access vlan 2

Cisco-Outside

Cisco-SW(config)#int range f1/3 -4 ,f1/6
Cisco-SW(config-if-range)#switchport mode access
Cisco-SW(config-if-range)#switchport access vlan 3

Cisco-Inside

Ccieh3c.qzone.com-SW(config)#int range f1/5 , f1/2 , f1/7
Cisco-SW(config-if-range)#switchport mode access
Cisco-SW(config-if-range)#switchport access vlan 4
 image003.jpg

最后,在做配置的时候,先检查下VLAN和接口是否对应了,不然排错起来比较麻烦。

Cisco-Outside

Cisco-OUtside(config)#int f0/0
Cisco-OUtside(config-if)#ip address 10.1.1.1 255.255.255.0
Cisco-OUtside(config-if)#no shut
Cisco-Outside(config)#ip route 0.0.0.0 0.0.0.0 10.1.1.254
Cisco-Outside(config)#line vty 0 4
Cisco-Outside(config-line)#password cisco

Cisco-Inside

Cisco-Inside(config-line)#int f0/0
Cisco-Inside(config-if)#ip add 12.1.1.1 255.255.255.0
Cisco-Inside(config-if)#no shut
Cisco-Inside(config)#ip route 0.0.0.0 0.0.0.0 12.1.1.254

基本配置搞定,一条默认路由指向Cisco-primary的地址就行了。主要在于firewall的配置了,只需要Cisco-primary这边

防火墙的基本配置,首先把三个接口全部打开,然后配置IP地址。

Cisco-Primary(config-if)# int e0
Cisco-Primary(config-if)# no shut
Cisco-Primary(config-if)# int e1
Cisco-Primary(config-if)# nameif outside
INFO: Security level for “outside” set to 0 by default.
Cisco-Primary(config-if)# ip add 10.1.1.1 255.255.255.0 st
Cisco-Primary(config-if)# ip add 10.1.1.254 255.255.255.0 standby 10.1.1.253
Cisco-Primary(config-if)# no shut
Cisco-Primary(config-if)# int e2
Cisco-Primary(config-if)# nameif inside
INFO: Security level for “inside” set to 100 by default.
Cisco-Primary(config-if)# ip add 12.1.1.254 255.255.255.0 standby 12.1.1.253
Cisco-Primary(config-if)# no shut

这里E0作为failover的接口,只需要开启就好,而配置IP的时候多了个standby 这是配置failover才需要的,定义standby的地址为多少。
Cisco-primary(config)# failover lan enable 在PIX上需要开启LAN-Based功能,ASA不需要
Cisco-primary(config)# failover lan unit Cisco-primary 配置这边为主
Cisco-primary(config)# failover lan interface FO e0 设置e0接口为failover接口,这里定义的是前面先跟一个名字,然后在跟接口
INFO: Non-failover interface config is cleared on Ethernet0 and its sub-interfaces
Cisco-primary(config)# failover interface ip FO 11.1.1.254 255.255.255.0 standby 11.1.1.253 根据这个名字配置 failover的地址,用于协商c
primary(config)# failover 开启failover功能。
这样主防火墙配置完了,standby那边就很简单了。
standby(config)# int e0
standby(config-if)# no shutdown
standby(config)# failover lan enable
standby(config)# failover lan unit secondary
standby(config)# failover lan interface FO e0
INFO: Non-failover interface config is cleared on Ethernet0 and its sub-interfaces
standby(config)# failover interface ip FO 11.1.1.254 255.255.255.0 standby 11.1.1.253
standby(config)# failover
standby这边除了一个状态为secondary以外,其余的一模一样,包括failover的主IP和备用IP。

 image004.jpg

发现敲了failover后,就开始同步了,最后standby的配置都备份了Cisco-primary了,配置都copy过来了。

 image005.jpg

这个是failover的信息,轮循时间为15s,holdtime 为3倍,可以通过failover timeout 来修改。
切换failover的主备关系。

 image006.png

保存stadnby的配置,许多操作都在主用那边操作就可以了。
开始下telnet的功能。

 image007.jpg
 image008.png

一边有转换状态的信息,另外一边没有,所以当parimary这边down的话,那么telnet的会话就会断开了。

Active/standby的stateful的failover

如果是单独的接口做stateful的话,那么就需要先定义一个名字跟接口,然后为这个名字配置Cisco-primary和standby的IP地址。
failover link state e3
failover interface ip state 192.168.5.1 255.255.255.0 standby 192.168.5.2

我这个环境直接使用FO的接口也作为stateful的使用,配置很简单
Cisco-primary(config)# failover link FO

 image009.jpg

这时候就有状态化信息的出现了,当有TCP的连接时候 它会自动备份到standby那边。 这时候来测试telnet,看是否会断开telnet的连接。

 image010.png

telnet的会话没有断开,只是中间会卡住45s,这个时间是用于standby切换到Active时间,所以会卡住,但是telnet会话不会断开。

 image011.jpg
 image012.jpg

两边的状态化表现都有,所以关于TCP的会话,不会因为设备出现了故障而断开。

下载地址

百度盘地址
如果下载地址失效,请联系博主或者在下面留言,谢谢。

关于博客资源下载说明

首先,感谢大家对网络之路博客的支持,本站所有资源都是开放下载,不做任何限制,资源都是上传在百度盘,分为两种类型:
(1)第一种是书籍PDF与视频类,全部放在博客分享,觉得对大家学习有帮助的博主会收集好、然后以博主的经验整理分类后排序好分享出来。
(2)第二种是技术性文章与视频,全部放在公众号(网络之路博客)/B站(网络之路Blog)发布,以博主原创为主,主要分享系列为主,由浅入深的带大家了解工作中常用到的一些网络技术,当然也会分享一些比较经典的案例。
(3)分享资源有涉及到您的利益以及版权问题,请联系博主,24小时候内删除。
想第一时间收到最新更新内容吗,点击获取~~~

点击查看详情

(广告)博主自主原创最新实战课程

点击查看详情


(广告)远程技术支持(设备调试),有搞不定的找我,价格实惠,为您解决实际工作上的问题

远程技术调试与技术支持,点击查看详情


原创与收集的内容,允许转载,转载时请务必以超链接形式标明文章原始出处,博客地址http://ccieh3c.com。

喜欢 (0)
[]
分享 (0)
公众号:网络之路博客(其他平台网络之路Blog)
分享一些自己懂的技术知识点,希望对大家有帮助。
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址