在思科ASA上部署Failover例項演示-上

中繼者分享：在思科ASA上部署Failover例項演示-上

Part 1 - Failover簡介
一. 什麼是Failover
    Failover特性是Cisco安全產品高可用性的一個解決方案，目的是為了提供不間斷的服務，當主裝置down掉的時候，備用裝置能夠馬上接管主裝置的工作，進而保持通訊的連通性。
二. 部署Failover的必要條件
在部署Failover時，要求兩臺防火牆的以下資訊完全一致：
硬體條件：裝置型號、介面數量和型別、SSM模組、記憶體；
軟體條件：執行模式（透明模式或路由模式）、系統主次版本號；
授權資訊：Lincense；
三. Failover的部署方案
在部署Failover時，有兩種部署方式：
第一種：Active-Standby（A/S）模式
當使用A/S模式時，兩臺物理防火牆中，一臺（Active裝置）對外提供服務，轉發流量；另外一臺（Standby裝置）作為備份。當Active裝置當機後，Standby裝置開始接管流量轉發。
第二種：Active-Active（A/A）模式
當使用A/A模式時，兩臺防火牆可以同時工作，同時轉發流量，再實現高可靠性的同時，還可以提供流量負載。
failover部署方案圖示：


Part 2 - Active-Standby模式的工作原理
注：Actvie-Actvie的部署方式將在下一篇文章中給大家詳細介紹！
一. 角色定義
      配置層面：Primary和Secondary角色
一臺防火牆被配置成Primary角色，另外一臺防火牆被配置成Secondary角色；
       邏輯層面：Active和Standby狀態
被配置成Primary角色的裝置，會被選舉成為Active，從而處理流量的轉發；被配置成為Secondary角色的裝置，會被選舉成為Standby，從而做為備份裝置；
二. 管理介面
    在部署Failover時，除了正常的業務介面以外，還需要定義兩個特殊的介面來管理Failover的執行。
LAN-Based Failover link：該介面用來檢測Failover的執行狀態，並且進行配置資訊的同步，使用獨立的介面來充當；
Stateful Failover Link：該介面用來同步狀態化資訊，即Active裝置會將當前流量的連線資訊（例如，TCP連線）或者是一些表項同步給Standby裝置，使得Standby裝置在切換到Active後，能更快的進行資料轉發，思科推薦使用獨立介面來充當；
    管理介面的圖示如下：
E0/2介面為LAN-Based Failover link；
E0/3介面為Stateful Failover Link；
 
三. Failover的選舉過程
    當兩臺防火牆被配置成Primary或者Secondary角色後，它們會透過LAN-Based Failover link進行Active和Standby狀態的選舉，具體過程如下：
當兩臺防火牆都能正常啟動時，Primary角色的裝置會被選擇成Active，Secondary角色的裝置會被選擇成Standby；
當兩臺防火牆只有一臺能正常啟動，則能正常啟動的裝置被選擇為Active，不管它是Primary裝置還是Secondary裝置；
如果防火牆能正常啟動，但是已檢測到有Active狀態的裝置存在，則啟動後被選擇成Standby狀態；
如果防火牆啟動後，被選擇成為Active，但是又檢測到另外一臺裝置也是Active，則進行重新選舉；
四. 鄰居裝置的健康狀態監控
    參與Failover的兩臺防火牆，彼此會透過LAN-Based Failover link介面和Monitired interface（預設除了管理口外的其它介面都屬於Monitired interface）傳送Hello報文，來檢測健康狀態。
    健康狀態的檢測原則為：
如果能從LAN-Based Failover link介面週期性收到Hello報文，則鄰居狀態健康，不需要進行切換；
如果不能從LAN-Based Failover link介面收到Hello報文，但是可以從Monitired interface收到Hello報文，也被認為鄰居狀態健康，不需要進行切換；
如果既不能從LAN-Based Failover link介面收到Hello報文，也不能從Monitired interface收到Hello報文，則被認為是Fail狀態，這時就需要進行切換；
五. 狀態資訊的同步
    當Active裝置出現故障時，Standby狀態的裝置會切換到Active狀態來接管流量的轉發。
    為了使得切換速度更塊，我們可以開啟狀態化同步的特性，使得Active裝置在還沒有出現故障之前，透過Stateful Failover Link介面，將自己的狀態化表項同步給Standby，使得Standby在切換後能迅速的進行流量的轉發

需要同步的資訊如下表所示：

需要同步的資訊	不需要同步的資訊
NAT table entries	User Authentication Cut-Through Proxy
ARP table entries	DHCP server address leases
MAC address table entries	Phone proxy information
UDP connections	Security Services Module activity
TCP connections
H.323 and SIP signaling sessions
MGCP connections
HTTP connections (if explicitly enabled)
Dynamic routing table entries*

Part 3 - 實驗配置
一. 實驗環境
實驗物理拓撲圖：

裝置及IP地址說明：
R1為outside裝置，模擬網際網路，R2為inside裝置，模擬區域網。
ASA1和ASA2介面分配情況
介面
介面命名
G0/0
Inside
G0/3
Outside
G0/2
LAN-Based Failover
G0/1
Statefull Failover
VLAN規劃情況
VLAN
介面
VLAN 10
E0/0、E1/0、E2/1
VLAN 11
E0/1、E1/1
VLAN 12
E0/2、E1/2
VLAN 13
E0/3、E1/3、E2/0
IP地址規劃情況
裝置
介面
IP地址
R1
E0/0
209.165.200.254/24
R2
E0/0192.168.1.254/24
ASA1
G0/0
192.168.1.10/24
ASA1
G0/1192.168.201.1/24
ASA1
G0/2192.168.200.1/24
ASA1
G0/3209.165.200.225/24
ASA2
G0/0192.168.1.11/24
ASA2G0/1192.168.201.2/24
ASA2G0/2192.168.200.2/24
ASA2G0/3209.165.200.226/24
二. 實驗需求
部署無狀態化Failover Active-Standby模式，ASA1為Active，ASA2為standby，當LAN-Based Failover link斷開，觀察Failover切換情況。
部署狀態化Failover Active-Standby模式，ASA1為Active，ASA2為standby，當LAN-Based Failover link斷開，觀察Failover切換情況。以及狀態化表項
三. 具體配置步驟
Step 1：在交換機上將介面劃分進相應的VLAN
Switch#show vlan brief
VLAN Name                             Status    Ports
---- -------------------------------- --------- -------------------------------
1    default                          active    Et2/2, Et2/3
10   inside                           active    Et0/0, Et1/0, Et2/1
11   Stateful                          active    Et0/1, Et1/1
12   FO                              active    Et0/2, Et1/2
13   outside                          active    Et0/3, Et1/3, Et2/0
Step 2：在ASA1上配置相關引數
2.1 配置inside和outside介面的IP地址
Hostname ASA1
interface Giga bi tEthernet0/0
nameif inside
security-level 100
ip address 192.168.1.10 255.255.255.0 standby 192.168.1.11
interface GigabitEthernet0/3
nameif outside
security-level 0
ip address 209.165.200.225 255.255.255.0 standby 209.165.200.226
2.2 將ASA1配置成Primary裝置，同時將G0/2介面配置成LAN-Based Failover介面，並配置IP地址
interface GigabitEthernet0/2
no shutdowm
failover lan unit primary
failover lan interface FO GigabitEthernet0/2
failover interface ip FO 192.168.200.1 255.255.255.0 standby 192.168.200.2
Failove
Step 3：在ASA2上配置相關引數
注：Secondary裝置中無需配置inside介面和outside介面IP，直接從Active裝置同
3.1 將ASA2配置成Secondary裝置，同時將G0/2介面配置成LAN-Based Failover介面，並配置IP地址
Hostname ASA2
interface GigabitEthernet0/2
no shutdowm
failover lan unit secondary
failover lan interface FO GigabitEthernet0/2
failover interface ip FO 192.168.200.1 255.255.255.0 standby 192.168.200.2
Failove
Step 4：檢視Failover的狀態，ASA1為Active，ASA2為Standby
ASA1/pri/act# show failover
Failover On
Failover unit Primary
Failover LAN Interface: FOGigabitEthernet0/2 (up)
Reconnect timeout 0:00:00
Unit Poll frequency 1 seconds, holdtime 15 seconds
Interface Poll frequency 5 seconds, holdtime 25 seconds
Interface Policy 1
Monitored Interfaces 2 of 61 maximum
MAC Address Move Notification Interval not set
Version: Ours 9.5(2)204, Mate 9.5(2)204
Last Failover at: 01:56:09 UTC Jan 10 2019
This host: Primary - Active
Active time: 3163 (sec)
slot 0: empty
Interface inside (192.168.1.10): Normal (Monitored)
Interface outside (209.165.200.225): Normal (Monitored)
Other host: Secondary - Standby Ready
Active time: 91 (sec)
Interface inside (192.168.1.11): Normal (Monitored)
Interface outside (209.165.200.226): Normal (Monitored)
Stateful Failover Logical Update Statistics
Link : Unconfigured
Step 5：透過Telnet進行測試
5.1 在R2上，對R1進行Telnet訪問，並保持連線不要中斷
R2#
R2#telnet 209.165.200.254
Trying 209.165.200.254 ... Open
User Access Verification
Password:
R1
5.2 在ASA1和ASA2上檢視狀態化表項，此時，ASA1上應該有狀態化表項，而ASA2上沒有狀態化表項
ASA1/pri/act# show conn
7 in use, 14 most used
TCP outside  209.165.200.254:23 inside  192.168.1.254:36816, idle 0:00:04, bytes 139, flags UIO
ASA2/sec/stby# show conn
6 in use, 13 most use
Step 6：故障測試
6.1 斷開交換機連線Active裝置的Ethernet0/0口，觀察切換情況，此時，Active裝置切換成了Standby狀態。
Switch(config)#interface Ethernet0/0
Switch(config)#shutdown
ASA1/pri/act#
Switching to Standby
ASA1/pri/stby)# show failover
Failover On
Failover unit Primary
Failover LAN Interface: FO GigabitEthernet0/2 (up)
Reconnect timeout 0:00:00
Unit Poll frequency 1 seconds, holdtime 15 seconds
Interface Poll frequency 5 seconds, holdtime 25 seconds
Interface Policy 1
Monitored Interfaces 2 of 61 maximum
MAC Address Move Notification Interval not set
Version: Ours 9.5(2)204, Mate 9.5(2)204
Last Failover at: 03:01:54 UTC Jan 10 2019
This host: Primary - Failed
                Active time: 3936 (sec)
                slot 0: empty
                  Interface inside (192.168.1.11): Failed (Waiting)
                  Interface outside (209.165.200.226): Normal (Monitored)
  Other host: Secondary - Active
                Active time: 45 (sec)
                  Interface inside (192.168.1.10): Normal (Waiting)
                  Interface outside (209.165.200.225): Normal (Monitored)
Stateful Failover Logical Update Statistics
        Link : Unconfigured.
6.2 恢復交換機介面，由於非搶佔的原因，ASA1依然為Standby狀態，，可以使用Failover Active命令進行手動搶佔
Switch(config)#int Ethernet0/0
Switch(config)#no shutdown
ASA1/pri/stby)# show failover
Failover On
Failover unit Primary
Failover LAN Interface: FO GigabitEthernet0/2 (up)
Reconnect timeout 0:00:00
Unit Poll frequency 1 seconds, holdtime 15 seconds
Interface Poll frequency 5 seconds, holdtime 25 seconds
Interface Policy 1
Monitored Interfaces 2 of 61 maximum
MAC Address Move Notification Interval not set
Version: Ours 9.5(2)204, Mate 9.5(2)204
Last Failover at: 03:01:54 UTC Jan 10 2019
This host: Primary - Standby Ready
                Active time: 3936 (sec)
                slot 0: empty
                  Interface inside (192.168.1.11): Normal (Monitored)
                  Interface outside (209.165.200.226): Normal (Monitored)
        Other host: Secondary - Active
                Active time: 254 (sec)
                  Interface inside (192.168.1.10): Normal (Monitored)
                  Interface outside (209.165.200.225): Normal (Monitored)
Stateful Failover Logical Update Statistics
        Link : Unconfigured.
ASA1/pri/stby)# failover active
Switching to Active
Step 7：開啟狀態化切換
7.1 配置Stateful Failover Link鏈路，該配置在Active端配置即可，Standby會自動同步
ASA1/sec/act#failover link Stateful GigabitEthernet0/1
ASA1/sec/act#failover interface ip Stateful 192.168.201.1 255.255.255.0 standby 192.168.201.2
7.2 檢視狀態化表項，ASA1和ASA2上均有狀態化表項
ASA1/sec/act # show conn
9 in use, 14 most used
TCP outside  209.165.200.254:23 inside  192.168.1.254:13699, idle 0:00:06, bytes 146, flags UIO
ASA1/pri/stby)# show conn
9 in use, 13 most used
TCP outside  209.165.200.254:23 inside  192.168.1.254:13699, idle 0:00:01, bytes 146, flags UIO
Step 8：其他可選配置
8.1 修改Active/Standby切換時間
failover polltime unit msec 300 holdtime msec 900
failover polltime interface 1 holdtime 5
8.2 修改監控介面，設定切換策略
Monitor-interface xxx
Failover interface-policy x
Failover interface-policy xx%

武漢中繼者
諮詢電話：027-87128828
官方QQ：3120568779
網站
公司地址：武漢市武昌區丁字橋路思特大廈9樓906室