Cisco ASA Active / Active Failover Konfiguration

Cisco ASA Active / Active Failover Konfiguration

Cisco ASA failover konfiguration kræver to identiske sikkerhed apparater forbundet med hinanden via en dedikeret failover forbindelse og eventuelt en stateful failover link. De ”sunde” af de aktive interfaces og enheder overvåges for at afgøre, om bestemte failover betingelser er opfyldt. Hvis disse betingelser er opfyldt, failover sker. I tilfælde af aktiv / aktiv konfiguration begge enheder bærer trafik. For at skabe aktiv / aktiv Failover, konfiguration begge ASA-enheder i flere sammenhæng tilstanden (Multiple context) er påkrævet.

For ASA redundans scenarie de to enheder skal være de samme modeller, skal have samme antal og type af interfaces og samme licens. ASA 5505 og 5510 understøtter ikke aktiv / aktiv failover uden licens opgradering.

For aktiv / aktiv konfiguration, Failover Contexts og failover grupper skal oprettes. Den Failover gruppe implementeres derefter til Primary eller Secondary fysisk ASA enhed. Efter dette bliver den særlige Failover gruppen påført på en Context. For eksempel er den primære enhed aktiv ASA af Failover GRUPPE1, men Sekundær enhed er Standby ASA af Failover GRUPPE1. Hvis primær ASA er ude af drift, vil Sekundær ASA bliver aktive på Failover GRUPPE1.

For at forklare Active / Active Failover-konfiguration i detaljer, lad os gøre følgende konfiguration:

Konfiguration

! Switch begge ASA devices til multiple Context mode.
asa(config)#mode multiple

! Når ASAer er reloaded, skal du tilslutte dem til hinanden med Ge0 / 2 og Ge0 / 3 porte. Først starter med den primære enhed konfiguration. Før du starter konfigurationen, skal alle interfaces være oppe (UP state) tilstand.

! aktivere LAN Failover.
asa(config)#failover lan enable

! indstille denne enhed som primær.
asa(config)#failover lan unit primary

Bestem Failover og state interfaces. Disse to interfaces kan være de samme fysiske interface, hvis du ikke behøver at forbruge en ekstra port. I vores eksempel her bruger vi to separate fysiske interfaces.
I denne artikel er “failover” (interface navn for GigabitEthernet0 / 2) brugt som failover interface.

! Definer Failover interface
asa(config)#failover lan interface failover Ge0/2

! tildele IP-adresse på Failover Interface. SKAL være i samme undernet som standby på den anden enhed.
asa(config)#failover interface ip failover 192.168.3.1 255.255.255.0 standby 192.168.3.2

I denne dokumentation, er “state” (interface navn navn for GigabitEthernet0 / 3) brugt som en stat interface.

! Definer stateful Failover-interface
asa(config)#failover link state Ge0/3

! tildel IP-adresse på Stateful Failover-interface
asa(config)#failover interface ip state 192.168.4.1 255.255.255.0 standby 192.168.4.2

! Opret Failover grupper, hvor Failover Group1 vil være den primære, dvs aktive på primær enhed og Failover Group2 vil være standby på Primary Unit. Konfigurer også HTTP Replication, hvorefter der opstår HTTP Connection state replikering mellem aktive og Standby ASAer. Også bestemme Preempt Delay.

asa(config)#failover group 1
asa(config-fover-group)#primary
asa(config-fover-group)#preempt 120
asa(config-fover-group)# replication http
asa(config)#failover group 2
asa(config-fover-group)#secondary
asa(config-fover-group)#preempt 120
asa(config-fover-group)# replication http

Lad os nu begynde at oprette Contexts og tildele interfaces i hvert Context.

! Konfigurer admin Context
asa(config)# admin-context admin
asa(config)# context admin
asa(config-ctx)# allocate-interface Management0/0
asa(config-ctx)# config-url disk0:/admin.cfg

!Konfigurer Sub-interfaces
interface GigabitEthernet0/0.10
vlan 10
interface GigabitEthernet0/0.11
vlan 11
interface GigabitEthernet0/1.20
vlan 20
interface GigabitEthernet0/1.21
vlan 21

! Konfigurer contexts
asa(config)# context c1
asa(config-ctx)# allocate-interface gigabitethernet0/0.10
asa(config-ctx)# allocate-interface gigabitethernet0/1.20
asa(config-ctx)# config-url disk0:/c1.cfg
asa(config)# context c2
asa(config-ctx)# allocate-interface gigabitethernet0/0.11
asa(config-ctx)# allocate-interface gigabitethernet0/1.21
asa(config-ctx)# config-url disk0:/c2.cfg

! Snap hver Context til Failover Groups. Hvis vi ikke viser Contexts til Failover grupper, vil hver sammenhæng være i Group1 som standard (default)
asa(config)# context c1
asa(config-ctx)# join-failover-group 1
asa(config)# context c2
asa(config-ctx)# join-failover-group 2

!Konfigurer IP addresse på Context1.
asa#changeto context c1
asa/c1# show running-config interface
!
interface GigabitEthernet0/0.10
nameif outside
security-level 0
ip address 192.168.10.1 255.255.255.0 standby 192.168.10.2
!
interface GigabitEthernet0/1.20
nameif inside
security-level 100
ip address 192.168.20.1 255.255.255.0 standby 192.168.20.2
!Konfigurer IP addresse på Context2.
asa#changeto context c2
asa/c2# show running-config interface
!
interface GigabitEthernet0/0.11
nameif outside
security-level 0
ip address 192.168.11.1 255.255.255.0 standby 192.168.11.2
!
interface GigabitEthernet0/1.21
nameif inside
security-level 100
ip address 192.168.21.1 255.255.255.0 standby 192.168.21.2
!

Lad os starte sekundære enhed (Secondary unit) konfiguration.

!Konfigurer Failover interface
asa(config)#failover lan interface failover Ge0/2

! tildele IP-adresse på Failover Interface. SKAL være i samme subnet som anden enhed.
asa(config)#failover interface ip failover 192.168.3.1 255.255.255.0 standby 192.168.3.2

!enable LAN Failover.
asa(config)#failover lan enable

! indstille denne enhed som sekundær
asa(config)#failover lan unit secondary

Med ovenstående stykke konfiguration kommandoer alt er afsluttet, og lad os nu begynde at kontrollere.
verifikation:

! kontrollere primærenheden (Primary unit)

asa# show failover

Failover On
Failover unit Primary
Failover LAN Interface: failover GigabitEthernet0/2 (up)
Unit Poll frequency 1 seconds, holdtime 15 seconds
Interface Poll frequency 5 seconds, holdtime 25 seconds
Interface Policy 1
Monitored Interfaces 4 of 250 maximum
Version: Ours 8.2(1), Mate 8.2(1)
Group 1 last failover at: 05:12:14 tbilisi Dec 7 2010
Group 2 last failover at: 10:13:04 tbilisi Oct 24 2010
This host: Primary
Group 1 State: Active
Active time: 14536379 (sec)
Group 2 State: Standby Ready
Active time: 0 (sec)
slot 0: ASA5520 hw/sw rev (2.0/8.2(1)) status (Up Sys)
c1 Interface outside (192.168.10.1): Normal
c1 Interface inside (192.168.20.1): Normal
c2 Interface outside (192.168.11.1): Normal
c2 Interface inside (192.168.21.1): Normal
slot 1: empty
Other host: Secondary
Group 1 State: Standby Ready
Active time: 1104 (sec)
Group 2 State: Active
Active time: 14537266 (sec)
slot 0: ASA5520 hw/sw rev (2.0/8.2(1)) status (Up Sys)
c1 Interface outside (192.168.10.2): Normal
c1 Interface inside (192.168.20.2): Normal
c2 Interface outside (192.168.11.2): Normal
c2 Interface inside (192.168.22.2): Normal
slot 1: empty
Stateful Failover Logical Update Statistics
Link : state GigabitEthernet0/3.2 (up)
Stateful Obj xmit xerr rcv rerr
General 2405585244 0 75798262 188
sys cmd 1938317 0 1938317 0
up time 0 0 0 0
RPC services 0 0 0 0
TCP conn 1241561564 0 43443406 91
UDP conn 1157379296 0 28582971 84
ARP tbl 3799402 0 1833568 13
Xlate_Timeout 0 0 0 0
SIP Session 906665 0 0 0
Logical Update Queue Information
Cur Max Total
Recv Q: 0 49 90335543
Xmit Q: 0 7 2405585244

! kontrollere sekundærenheden (Secondary unit)

ASA# show failover

Failover On
Failover unit Secondary
Failover LAN Interface: failover GigabitEthernet0/2
Unit Poll frequency 1 seconds, holdtime 15 seconds
Interface Poll frequency 5 seconds, holdtime 25 seconds
Interface Policy 1
Monitored Interfaces 4 of 250 maximum
Version: Ours 8.2(1), Mate 8.2(1)
Group 1 last failover at: 05:12:14 tbilisi Dec 7 2010
Group 2 last failover at: 10:13:03 tbilisi Oct 24 2010
This host: Secondary
Group 1 State: Standby Ready
Active time: 1104 (sec)
Group 2 State: Active
Active time: 14537372 (sec)
slot 0: ASA5540 hw/sw rev (2.0/8.2(1)) status (Up Sys)
c1 Interface outside (192.168.10.2): Normal
c1 Interface inside (192.168.20.2): Normal
c2 Interface outside (192.168.11.2): Normal
c2 Interface inside (192.168.21.2): Normal
slot 1: empty
Other host: Primary
Group 1 State: Active
Active time: 14536486 (sec)
Group 2 State: Standby Ready
Active time: 0 (sec)
slot 0: ASA5520 hw/sw rev (2.0/8.2(1)) status (Up Sys)
c1 Interface outside (192.168.10.1): Normal
c1 Interface inside (192.168.20.1): Normal
c2 Interface outside (192.168.11.1): Normal
c2 Interface inside (192.168.21.1): Normal
slot 1: empty
Stateful Failover Logical Update Statistics
Link : state GigabitEthernet0/3.2 (up)
Stateful Obj xmit xerr rcv rerr
General 111758344 0 1089580597 1046
sys cmd 1938331 0 1938331 0
up time 0 0 0 0
RPC services 0 0 0 0
TCP conn 73801356 0 581933209 113
UDP conn 34185062 0 501003000 886
ARP tbl 1833595 0 3799403 36
Xlate_Timeout 0 0 0 0
SIP Session 0 0 906654 11
Logical Update Queue Information
Cur Max Total
Recv Q: 0 7 1104118240
Xmit Q: 0 1 111758344

Som vi har observeret fra oven, er aktiv / aktiv Failover i drift og alt er som forventet.