Cisco-ASA-Failover防火墙冗余

由天下分享时间：2025/2/8 21:17:14 加入收藏我要投稿点赞

Failover

Failover是思科防火墙一种高可用技术，能在防火墙发生故障时数秒内转移配置到另一台设备，使网络保持畅通，达到设备级冗余的目的。

原理

前提需要两台设备型号一样（型号、内存、接口等），通过一条链路连接到对端（这个连接也叫心跳线）。该技术用到的两台设备分为Active设备（Primary）和Stanby设备（Secondary）,这种冗余也可以叫AS模式。活跃机器处于在线工作状态，备用处于待机状态实时监控活跃设备是否正常。当主用设备发生故障后（接口down，设备断电），备用设备可及时替换，替换为Avtive的角色。Failover启用后，Primary设备会同步配置文件文件到Secondary设备，这个时候也不能在Scondary添加配置，配置必须在Active进行。远程管理Failover设备时，登录的始终是active设备这一点一定要注意，可以通过命令（show failover）查看当时所登录的物理机器。目前启用failover技术不是所有状态化信息都可以同步，比如NAT转换需要再次建立。配置Active设备： interface Ethernet0 nameif outside security-level 0 interface Ethernet1 nameif inside security-level 100

ASA1(config)# failover lan unit primary //指定设备的角色主

ASA1(config)# failover lan interface failover Ethernet2 //Failover接口名，可自定义

ASA1(config)# failover link Fover Ethernet2 //状态信息同步接口ASA1(config)# f //配置Failover IP地址,该网段可使用私网地址 ASA1(config)# failover lan key xxxx //配置Failover 认证对端

ASA1(config)# failover //启用Failover；注意，此命令一定要先在Active上输入，否则会引起配置拷错；

将一个接口指定为failover 接口后，再show inter 的时候，该接口就显示为： interface Ethernet3

description LAN Failover Interface //确保接口up 配置standby设备：

ASA2(config)# inte Ethernet3 ASA2(configif)# no shutdown ASA2(configif)# exit

ASA2(config)# failover lan unit secondary

ASA2(config)# failover lan interface failover Ethernet03 ASA1(config)# failover link Fover Ethernet2 ASA2(config)#by

ASA2(config)# failover key xxxx

ASA2(config)# failover //先在Active设备运行此命令

两台设备同步信息后，配置只能在Active进行，备份设备hostname会和主设备相同。

远程网管时无法确定当前管理的设备，可使用show failover 查看，或者使用命令：

ASA1(config)# prompt hostname priority state

ASA1/pri/act(config)# //primary 设备active设备状态 ASA1(config)# prompt hostname priority state

ASA1/sec/stby(config)# //secondary设备 standby状态其他配置信息：

No failover active //主设备切换为备份状态 Failover active //切换为active状态 Show run failover //查看配置

Show failover //同ASA1(config)# show failover （以下是执行信息） Failover On //开启状态 Failover unit Primary

Failover LAN Interface: Fover GigabitEthernet2 (up) Unit Poll frequency 1 seconds, holdtime 15 seconds Interface Poll frequency 5 seconds, holdtime 25 seconds Interface Policy 1

Monitored Interfaces 2 of 60 maximum Version: Ours 8.4(2), Mate 8.4(2) Last Failover at: 21:05:31 UTC Apr 29 2016

This host: Primary - Standby Ready //主设备地址，是备份状态 Active time: 4440 (sec)

Other host: Secondary - Active //备设备地址，目前是主用设备 Active time: 533 (sec) Stateful Failover Logical Update Statistics Link : Fover GigabitEthernet2 (up)

Stateful Obj xmit xerr rcv rerr General sys cmd up time RPC services TCP conn UDP conn ARP tbl Xlate_Timeout IPv6 ND tbl VPN IKEv1 SA VPN IKEv1 P2 VPN IKEv2 SA VPN IKEv2 P2 VPN CTCP upd VPN SDI upd VPN DHCP upd SIP Session 670 0 641 0 0 0 0 0 0 0 26 0 2 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 646 641 0 0 0 1 3 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0

Route Session 0 0 0 0 User-Identity 1 0 1 0 Logical Update Queue Information

Cur Max Total Recv Q: 0 9 1262 Xmit Q: ASA1(config)#

0 30 5753