在思科ASA上部署Failover例項演示-上
中繼者分享:在思科ASA上部署Failover例項演示-上
Part 1 - Failover簡介
一. 什麼是Failover
Failover特性是Cisco安全產品高可用性的一個解決方案,目的是為了提供不間斷的服務,當主裝置down掉的時候,備用裝置能夠馬上接管主裝置的工作,進而保持通訊的連通性。
二. 部署Failover的必要條件
在部署Failover時,要求兩臺防火牆的以下資訊完全一致:
硬體條件:裝置型號、介面數量和型別、SSM模組、記憶體;
軟體條件:執行模式(透明模式或路由模式)、系統主次版本號;
授權資訊:Lincense;
三. Failover的部署方案
在部署Failover時,有兩種部署方式:
第一種:Active-Standby(A/S)模式
當使用A/S模式時,兩臺物理防火牆中,一臺(Active裝置)對外提供服務,轉發流量;另外一臺(Standby裝置)作為備份。當Active裝置當機後,Standby裝置開始接管流量轉發。
第二種:Active-Active(A/A)模式
當使用A/A模式時,兩臺防火牆可以同時工作,同時轉發流量,再實現高可靠性的同時,還可以提供流量負載。
failover部署方案圖示:
Part 2 - Active-Standby模式的工作原理
注:Actvie-Actvie的部署方式將在下一篇文章中給大家詳細介紹!
一. 角色定義
配置層面:Primary和Secondary角色
一臺防火牆被配置成Primary角色,另外一臺防火牆被配置成Secondary角色;
邏輯層面:Active和Standby狀態
被配置成Primary角色的裝置,會被選舉成為Active,從而處理流量的轉發;被配置成為Secondary角色的裝置,會被選舉成為Standby,從而做為備份裝置;
二. 管理介面
在部署Failover時,除了正常的業務介面以外,還需要定義兩個特殊的介面來管理Failover的執行。
LAN-Based Failover link:該介面用來檢測Failover的執行狀態,並且進行配置資訊的同步,使用獨立的介面來充當;
Stateful Failover Link:該介面用來同步狀態化資訊,即Active裝置會將當前流量的連線資訊(例如,TCP連線)或者是一些表項同步給Standby裝置,使得Standby裝置在切換到Active後,能更快的進行資料轉發,思科推薦使用獨立介面來充當;
管理介面的圖示如下:
E0/2介面為LAN-Based Failover link;
E0/3介面為Stateful Failover Link;
三. Failover的選舉過程
當兩臺防火牆被配置成Primary或者Secondary角色後,它們會透過LAN-Based Failover link進行Active和Standby狀態的選舉,具體過程如下:
當兩臺防火牆都能正常啟動時,Primary角色的裝置會被選擇成Active,Secondary角色的裝置會被選擇成Standby;
當兩臺防火牆只有一臺能正常啟動,則能正常啟動的裝置被選擇為Active,不管它是Primary裝置還是Secondary裝置;
如果防火牆能正常啟動,但是已檢測到有Active狀態的裝置存在,則啟動後被選擇成Standby狀態;
如果防火牆啟動後,被選擇成為Active,但是又檢測到另外一臺裝置也是Active,則進行重新選舉;
四. 鄰居裝置的健康狀態監控
參與Failover的兩臺防火牆,彼此會透過LAN-Based Failover link介面和Monitired interface(預設除了管理口外的其它介面都屬於Monitired interface)傳送Hello報文,來檢測健康狀態。
健康狀態的檢測原則為:
如果能從LAN-Based Failover link介面週期性收到Hello報文,則鄰居狀態健康,不需要進行切換;
如果不能從LAN-Based Failover link介面收到Hello報文,但是可以從Monitired interface收到Hello報文,也被認為鄰居狀態健康,不需要進行切換;
如果既不能從LAN-Based Failover link介面收到Hello報文,也不能從Monitired interface收到Hello報文,則被認為是Fail狀態,這時就需要進行切換;
五. 狀態資訊的同步
當Active裝置出現故障時,Standby狀態的裝置會切換到Active狀態來接管流量的轉發。
為了使得切換速度更塊,我們可以開啟狀態化同步的特性,使得Active裝置在還沒有出現故障之前,透過Stateful Failover Link介面,將自己的狀態化表項同步給Standby,使得Standby在切換後能迅速的進行流量的轉發
需要同步的資訊如下表所示:
|
需要同步的資訊
|
不需要同步的資訊
|
| NAT table entries |
User Authentication Cut-Through Proxy
|
| ARP table entries | DHCP server address leases |
| MAC address table entries | Phone proxy information |
| UDP connections | Security Services Module activity |
| TCP connections |
|
| H.323 and SIP signaling sessions |
|
| MGCP connections |
|
| HTTP connections (if explicitly enabled) |
|
| Dynamic routing table entries* |
|
Part 3 - 實驗配置
一. 實驗環境
實驗物理拓撲圖:
裝置及IP地址說明:
R1為outside裝置,模擬網際網路,R2為inside裝置,模擬區域網。
ASA1和ASA2介面分配情況
介面
介面命名
G0/0
Inside
G0/3
Outside
G0/2
LAN-Based Failover
G0/1
Statefull Failover
VLAN規劃情況
VLAN
介面
VLAN 10
E0/0、E1/0、E2/1
VLAN 11
E0/1、E1/1
VLAN 12
E0/2、E1/2
VLAN 13
E0/3、E1/3、E2/0
IP地址規劃情況
裝置
介面
IP地址
R1
E0/0
209.165.200.254/24
R2
E0/0192.168.1.254/24
ASA1
G0/0
192.168.1.10/24
ASA1
G0/1192.168.201.1/24
ASA1
G0/2192.168.200.1/24
ASA1
G0/3209.165.200.225/24
ASA2
G0/0192.168.1.11/24
ASA2G0/1192.168.201.2/24
ASA2G0/2192.168.200.2/24
ASA2G0/3209.165.200.226/24
二. 實驗需求
部署無狀態化Failover Active-Standby模式,ASA1為Active,ASA2為standby,當LAN-Based Failover link斷開,觀察Failover切換情況。
部署狀態化Failover Active-Standby模式,ASA1為Active,ASA2為standby,當LAN-Based Failover link斷開,觀察Failover切換情況。以及狀態化表項
三. 具體配置步驟
Step 1:在交換機上將介面劃分進相應的VLAN
Switch#show vlan brief
VLAN Name Status Ports
---- -------------------------------- --------- -------------------------------
1 default active Et2/2, Et2/3
10 inside active Et0/0, Et1/0, Et2/1
11 Stateful active Et0/1, Et1/1
12 FO active Et0/2, Et1/2
13 outside active Et0/3, Et1/3, Et2/0
Step 2:在ASA1上配置相關引數
2.1 配置inside和outside介面的IP地址
Hostname ASA1
interface Giga
bi
tEthernet0/0
nameif inside
security-level 100
ip address 192.168.1.10 255.255.255.0 standby 192.168.1.11
interface GigabitEthernet0/3
nameif outside
security-level 0
ip address 209.165.200.225 255.255.255.0 standby 209.165.200.226
2.2 將ASA1配置成Primary裝置,同時將G0/2介面配置成LAN-Based Failover介面,並配置IP地址
interface GigabitEthernet0/2
no shutdowm
failover lan unit primary
failover lan interface FO GigabitEthernet0/2
failover interface ip FO 192.168.200.1 255.255.255.0 standby 192.168.200.2
Failove
Step 3:在ASA2上配置相關引數
注:Secondary裝置中無需配置inside介面和outside介面IP,直接從Active裝置同
3.1 將ASA2配置成Secondary裝置,同時將G0/2介面配置成LAN-Based Failover介面,並配置IP地址
Hostname ASA2
interface GigabitEthernet0/2
no shutdowm
failover lan unit secondary
failover lan interface FO GigabitEthernet0/2
failover interface ip FO 192.168.200.1 255.255.255.0 standby 192.168.200.2
Failove
Step 4:檢視Failover的狀態,ASA1為Active,ASA2為Standby
ASA1/pri/act# show failover
Failover On
Failover unit Primary
Failover LAN Interface: FOGigabitEthernet0/2 (up)
Reconnect timeout 0:00:00
Unit Poll frequency 1 seconds, holdtime 15 seconds
Interface Poll frequency 5 seconds, holdtime 25 seconds
Interface Policy 1
Monitored Interfaces 2 of 61 maximum
MAC Address Move Notification Interval not set
Version: Ours 9.5(2)204, Mate 9.5(2)204
Last Failover at: 01:56:09 UTC Jan 10 2019
This host: Primary - Active
Active time: 3163 (sec)
slot 0: empty
Interface inside (192.168.1.10): Normal (Monitored)
Interface outside (209.165.200.225): Normal (Monitored)
Other host: Secondary - Standby Ready
Active time: 91 (sec)
Interface inside (192.168.1.11): Normal (Monitored)
Interface outside (209.165.200.226): Normal (Monitored)
Stateful Failover Logical Update Statistics
Link : Unconfigured
Step 5:透過Telnet進行測試
5.1 在R2上,對R1進行Telnet訪問,並保持連線不要中斷
R2#
R2#telnet 209.165.200.254
Trying 209.165.200.254 ... Open
User Access Verification
Password:
R1
5.2 在ASA1和ASA2上檢視狀態化表項,此時,ASA1上應該有狀態化表項,而ASA2上沒有狀態化表項
ASA1/pri/act# show conn
7 in use, 14 most used
TCP outside 209.165.200.254:23 inside 192.168.1.254:36816, idle 0:00:04, bytes 139, flags UIO
ASA2/sec/stby# show conn
6 in use, 13 most use
Step 6:故障測試
6.1 斷開交換機連線Active裝置的Ethernet0/0口,觀察切換情況,此時,Active裝置切換成了Standby狀態。
Switch(config)#interface Ethernet0/0
Switch(config)#shutdown
ASA1/pri/act#
Switching to Standby
ASA1/pri/stby)# show failover
Failover On
Failover unit Primary
Failover LAN Interface: FO GigabitEthernet0/2 (up)
Reconnect timeout 0:00:00
Unit Poll frequency 1 seconds, holdtime 15 seconds
Interface Poll frequency 5 seconds, holdtime 25 seconds
Interface Policy 1
Monitored Interfaces 2 of 61 maximum
MAC Address Move Notification Interval not set
Version: Ours 9.5(2)204, Mate 9.5(2)204
Last Failover at: 03:01:54 UTC Jan 10 2019
This host: Primary - Failed
Active time: 3936 (sec)
slot 0: empty
Interface inside (192.168.1.11): Failed (Waiting)
Interface outside (209.165.200.226): Normal (Monitored)
Other host: Secondary - Active
Active time: 45 (sec)
Interface inside (192.168.1.10): Normal (Waiting)
Interface outside (209.165.200.225): Normal (Monitored)
Stateful Failover Logical Update Statistics
Link : Unconfigured.
6.2 恢復交換機介面,由於非搶佔的原因,ASA1依然為Standby狀態,,可以使用Failover Active命令進行手動搶佔
Switch(config)#int Ethernet0/0
Switch(config)#no shutdown
ASA1/pri/stby)# show failover
Failover On
Failover unit Primary
Failover LAN Interface: FO GigabitEthernet0/2 (up)
Reconnect timeout 0:00:00
Unit Poll frequency 1 seconds, holdtime 15 seconds
Interface Poll frequency 5 seconds, holdtime 25 seconds
Interface Policy 1
Monitored Interfaces 2 of 61 maximum
MAC Address Move Notification Interval not set
Version: Ours 9.5(2)204, Mate 9.5(2)204
Last Failover at: 03:01:54 UTC Jan 10 2019
This host: Primary - Standby Ready
Active time: 3936 (sec)
slot 0: empty
Interface inside (192.168.1.11): Normal (Monitored)
Interface outside (209.165.200.226): Normal (Monitored)
Other host: Secondary - Active
Active time: 254 (sec)
Interface inside (192.168.1.10): Normal (Monitored)
Interface outside (209.165.200.225): Normal (Monitored)
Stateful Failover Logical Update Statistics
Link : Unconfigured.
ASA1/pri/stby)# failover active
Switching to Active
Step 7:開啟狀態化切換
7.1 配置Stateful Failover Link鏈路,該配置在Active端配置即可,Standby會自動同步
ASA1/sec/act#failover link Stateful GigabitEthernet0/1
ASA1/sec/act#failover interface ip Stateful 192.168.201.1 255.255.255.0 standby 192.168.201.2
7.2 檢視狀態化表項,ASA1和ASA2上均有狀態化表項
ASA1/sec/act # show conn
9 in use, 14 most used
TCP outside 209.165.200.254:23 inside 192.168.1.254:13699, idle 0:00:06, bytes 146, flags UIO
ASA1/pri/stby)# show conn
9 in use, 13 most used
TCP outside 209.165.200.254:23 inside 192.168.1.254:13699, idle 0:00:01, bytes 146, flags UIO
Step 8:其他可選配置
8.1 修改Active/Standby切換時間
failover polltime unit msec 300 holdtime msec 900
failover polltime interface 1 holdtime 5
8.2 修改監控介面,設定切換策略
Monitor-interface xxx
Failover interface-policy x
Failover interface-policy xx%
武漢中繼者
諮詢電話:027-87128828
官方QQ:3120568779
網站
公司地址:武漢市武昌區丁字橋路思特大廈9樓906室
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/69904908/viewspace-2557208/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- ASA failover配置(A/S)AI
- jQueryAjax例項演示jQuery
- 在ECS上輕鬆搭建RDS的從例項
- 在Cisco ASA上部署 Cluster技術
- MySQL在Windows上安裝多個例項的方法MySqlWindows
- Oracle11g RAC在例項關閉後自動在啟動例項上歸檔Oracle
- 演示中斷處理的例項(例項六)(轉)
- Kettle 在 linux 上的部署Linux
- ZabbixAgent在Windows上安裝部署Windows
- ssl 在nginx上的部署示例Nginx
- 閉包程式碼例項演示
- 在SQL Server命名例項上的SSIS程式包獲取方法SQLServer
- 在Ubuntu上使用Jetty部署War包UbuntuJetty
- 國內在Minikube上搭建Knative及示例演示
- MySQL碎片整理小節--例項演示MySql
- javascript遞迴例項程式碼演示JavaScript遞迴
- 【DG】在Linux平臺上搭建單例項的dataguard--duplicateLinux單例
- 【FLASH例項1000教程】(4)上
- java多型-優化上個例項Java多型優化
- js返回上一頁程式碼例項JS
- javascript數字上舍入程式碼例項JavaScript
- 演示:在思科IPS裝置上實現聯動防禦—Blocking(命令防火牆、路由器等協同工作)...BloC防火牆路由器
- 在 Windows 上使用 IIS 部署 PHP 專案WindowsPHP
- 在 Ubuntu 上使用 Nginx 部署 Flask 應用UbuntuNginxFlask
- oracle在linux系統上的部署OracleLinux
- 在Ubuntu14.04上快速部署OpenStackUbuntu
- 在滴滴雲DC2伺服器上搭建DPDK應用例項伺服器
- css清除浮動程式碼例項演示CSS
- Java Class檔案結構例項分析(上)Java
- 點選返回上一頁程式碼例項
- RAC恢復到單例項節點上單例
- 研發專案改進例項(上)(轉)
- Oracle 11GR2 在CentOS 7 上的單例項靜默安裝OracleCentOS單例
- 思科CEO:融合通訊市場上 微軟落後思科三年微軟
- 演示影片:在K8S上備份和恢復MySQLK8SMySql
- 在AWS上的架構部署與設計架構
- 使用 Terraform 在 AWS 上快速部署 MQTT 叢集ORMMQQT
- 在AIX 5L上快速部署Oracle (轉)AIOracle