1、ASA Failover状态:

配置Failover需要两个相同的ASA设备,两个ASA设备通过专门的故障转移链路相互连接。

ASA Failover有两种状态:Active/Active failover  &  Active/Standby failover.

A/A:该状态的Failover两个ASA设备都可以转发流量,但是只有multiple context模式可以使用。

该模式的原理是划分security context到两个Failover groups,一个组在Primary ASA上被指定为Active,另一个组在Secondary ASA上被指定为Active(一个Failover group是一个或多个secondary context的逻辑组)。但Failover发生的时候,是在Failover group级别发生的。

A/S:该状态的Failover只有Active角色可以转发流量,而Standby处于不活跃的状态,监控Active的状态,一旦Failover发生,Active角色将由Standby角色接管,该状态single context和multiple context都可以使用。

两种模式的Failover都支持状态化和非状态化Failover。

2、Failover系统需求

硬件:

-相同模型model(PID)

-相同数量类型的接口【对于Firepower 4100/9300机箱,在启用Failover之前,所有接口必须在FXOS中进行相同的预配置。 如果在启用故障转移后更改接口,请在Standby设备上的FXOS中更改接口,然后在Active设备上进行相同的更改。 如果删除FXOS中的接口(例如,如果移除网络模块,删除EtherChannel或将接口重新分配给EtherChannel),则ASA配置会保留原始命令,以便您可以进行任何必要的调整; 从配置中删除接口会产生比较大的影响。 你可以在ASA OS中手动删除旧接口配置。】

-安装相同的模块

-安装相同大小的RAM【如果在Failover配置中使用具有不同闪存大小的设备,请确保具有较小闪存的设备有足够的空间容纳软件映像文件和配置文件。 如果没有,则从具有较大闪存的设备到具有较小闪存的设备的配置同步将失败。】

软件:

-相同的防火墙模式(路由模式/透明模式)

-相同的context模式(singe/multiple)

-相同的软件版本(包括主版本和小版本如version x.y)【您可以在升级过程中临时使用不同版本的软件; 例如,您可以将一个单元从版本8.3(1)升级到版本8.3(2),并使故障转移保持活动状态。思科建议将两个设备升级到相同版本,以确保长期兼容性。】

-有相同的anyconnect镜像【如果Failover pair在不中断的升级过程中发现镜像不匹配,然后clientless SSL VPN连接在升级过程最后的重启步骤中终止。数据库中显示孤立会话,并且IP地址池显示分配给客户端的地址为“in use”】

license需求:

Failover配置中的两个设备不需要具有相同的license,license会组合在一起以生成Failover cluster license。

3、Failover Link和State Failover Link

3.1 Failover Link:

Failover pair中的两个设备不断通过Failover link进行通信,以确定每个设备的运行状态。

Failover link中的数据主要包括:active&standby状态、hello信息(可以认为是keepalive)、网络链接状态、MAC地址交换、配置的复制和同步。

什么接口可以作为Failover接口呢?

You can use any unused data interface (physical, subinterface, redundant, or EtherChannel) as the failover link

注意:无法指定当前配置名称的接口。Failover link接口不能被配置为正常的网络接口,它只承载Failover信息交互。在大多数情况下,不能使用management接口给Failover使用(除非有如下的描述)。

5506-X through 5555-X—You cannot use the Management interface as the failover link; you must use
a data interface. The only exception is for the 5506H-X, where you can use the management interface
as the failover link.

5506H-X—You can use the Management 1/1 interface as the failover link. If you configure it for failover,
you must reload the device for the change to take effect. In this case, you cannot also use the ASA
Firepower module, because it requires the Management interface for management purposes

5585-X—Do not use the Management 0/0 interface, even though it can be used as a data interface. It
does not support the necessary performance for this use.

ASA on the Firepower 9300 and Firepower 4100—We recommend that you use a 10 GB data interface
for the combined failover and state link. You cannot use the management-type interface for the failover
link.

All other models—1 GB interface is large enough for a combined failover and state link.

对于用作Failover link的冗余接口,请参阅以下有关增加冗余的好处:

When a failover unit boots up, it alternates between the member interfaces to detect an active unit

If a failover unit stops receiving keepalive messages from its peer on one of the member interfaces, it
switches to the other member interface

The ASA does not support sharing interfaces between user data and the failover link. You also cannot use separate subinterfaces on the same parent for the failover link and for data.

对于用作Failover link的EtherChannel,为防止无序数据包,仅使用EtherChannel中的一个接口。 如果该接口出现故障,则使用EtherChannel中的下一个接口。 在将EtherChannel配置用作Failover link时,无法更改这一方式。

连接Failover link:

两种方式:

-使用交换机(与ASA的Failover link interface在同一网段(广播域或VLAN)上没有其他设备。)

-使用以太网线直接连接两个设备。

3.2 Stateful Failover link

为了使用Stateful Failover,必须配置一条Stateful failover link(也叫state link)来传输连接状态信息。思科建议Stateful Failover link的带宽至少和数据接口的带宽匹配。

state link可以和Failover link可以共用。共享Failover link是保护接口的最佳方式。 但是,如果您具有大型配置和高流量的网络,则必须考虑state link和Failover link的专用接口。

You can use a dedicated(专用的) data interface (physical, redundant, or EtherChannel) for the state link. For an
EtherChannel used as the state link, to prevent out-of-order packets, only one interface in the EtherChannel
is used. If that interface fails, then the next interface in the EtherChannel is used. (和Failover link一样)

连接state link的方式也是两种,交换机和直接连接,这也和Failover link的要求一样。值得注意的是:为了在使用长距离Failover时获得最佳性能,state link的延迟应小于10毫秒且不超过250毫秒。 如果延迟超过10毫秒,则由于重新传输Failover消息会导致性能下降。

ASA Failover相关推荐

  1. CISCO PIX/ASA Failover 技术初步学习

    CISCO PIX/ASA Failover 技术 是一项故障转移配置的技术,需要两台完全一样的设备,通过一个连接,连接到对方(这个连接也叫心跳线).该技术用到的两台设备分为 主用和备用,备用处于待机 ...

  2. IE-LAB: ccie培训中心 思科考试费 简单了解Cisco ASA Failover技术

    Failover特性是Cisco安全产品高可用性的一个解决方案,目的是为了提供不间断的服务,需要两台完全一样的设备,通过一个连接,连接到对方(这个连接也叫心跳线).该技术用到的两台设备分为 主用和备用 ...

  3. ASA防火墙之failover的介绍及配置

    failover的介绍及配置 本篇讲一下ASA防火墙的另外一种冗余的技术,failover,字面意思是失效转移,也就是当设备出现故障时,能够在数秒内将配置转换到另外一台设备中,是一种设备级的冗余技术. ...

  4. ASA 5520配置failover及双出口

    转载于:https://blog.51cto.com/gsliedu/2385938

  5. ASA LAB-ASA NAT配置大全

    ASA LAB-ASA NAT配置大全 两种NAT配置方式 : 1- Auto(object)NAT 2- Twice NAT NAT分类 : Static nat Dynamic nat Stati ...

  6. ASA防火墙学习笔记1-基础篇

    防火墙技术分类 防火墙技术分为三种:包过滤防火墙,代理防火墙,状态包过滤 1.包过滤防火墙:使用ACL控制进入或离开的网络流量,ACL可以匹配包的类型或其他参数(如源IP地址,目的ip地址,端口号等) ...

  7. IPSEC ×××实验六:ASA SSL ×××

    拓朴图 实验目的,PC2通过SSL×××能够访问到PC1 SSL×××服务端配置全在ASA上面,下面为配置步骤: 第一步:建立RSA密钥证书,名称为ssl***keypair crypto key g ...

  8. ASA IPSEC ***配置

    ASA-1配置 : Saved : ASA Version 8.0(2) ! hostname ASA-1 enable password 8Ry2YjIyt7RRXU24 encrypted nam ...

  9. ASA/PIX: Load balancing between two ISP - options

    ASA/PIX: Load balancing between two ISP - options VERSION 7  Is it possible to load balance between ...

  10. Cisco pix或asa如何防止内网用户乱改ip配置案例

    在pix或asa如何防止内网用户乱改ip配置案例 防止内网用户乱该ip地址,用户 只能用给定的ip,如果改ip地址,则无法访问网络资源. 例如:做了下述配置后(arp inside 10.64.64. ...

最新文章

  1. Android 开发入门学习
  2. iOS开展——全球应对MotionEvent
  3. 为你的程序添加监听器
  4. Servlet页面跳转实现方法的区别
  5. Qt学习笔记-自绘时钟
  6. web 折线图大数据量拉取展示方案_分布式、服务化的企业级 ERP 系统架构设计方案...
  7. 用python开发文本翻译小软件
  8. google测试框架
  9. ShuffleNet网络学习笔记
  10. win32编程 C++ 九格拼图游戏
  11. D3.入门教程——简介和安装
  12. android版本8.1.0和9的区别,安卓8.1和9.0的区别是什么
  13. 自定义ListView实现任意View跑马灯效果
  14. Linux基础篇之权限的设定
  15. 西游记研究之五:巨人的角逐
  16. 通过替换音效文件,实现在安卓手机上使用wp/nokia/wm10按键键盘声音
  17. 数据可视化分析教学课件——FineBI实验册节选====物流经营分析
  18. 算法 6:集成学习与随机森林
  19. 一招解决电脑卡吧咔吧
  20. 概率机器人课后习题答案

热门文章

  1. 献给广大的程序猿——颈椎保养
  2. 高级语言程序设计(C语言)----第三章(上) 数据类型、运算符和表达式
  3. 友盟分享,极光推送Demo
  4. 数据库质疑修复总结 For SQL Server 2000/2005/2008/2008R2
  5. 逃避追债?贾跃亭把法拉第未来股权转给了外甥,但他还有5套豪宅! | 焦点
  6. c#未能加载程序集oracle.dataaccess,未能加载文件或程序集“Oracle.DataAccess, Version=2.112.1.0...
  7. 如何进行App推广以及广告推送
  8. 结构化思维在产品工作中的应用
  9. thinpad E43系列WIN8装WIN7系统
  10. Ubuntu18.04 + win10 双系统,grub引导配置,美化