Cisco ASA failover

Материал из Xgu.ru

Перейти к: навигация, поиск
stub.png
Данная страница находится в разработке.
Эта страница ещё не закончена. Информация, представленная здесь, может оказаться неполной или неверной.

Если вы считаете, что её стоило бы доработать как можно быстрее, пожалуйста, скажите об этом.

Автор: Наташа Самойленко

Содержание

[править] Принципы работы

Когда две ASA настроены для работы в режиме Active/Active failover, нельзя включить IPsec VPN или SSL VPN. Так же не доступна динамическая маршрутизация. VPN failover доступен только для режима работы Active/Standby.

[править] Режимы работы

1. Stateful failover - с сохранением текущего состояния: обе ASA обмениваются информацией о состоянии сеансов по выделенному линку (Statefull Failover Link), и если какая-либо из ASA выйдет из строя, то другая подхватит существующие сеансы и продолжит работу.

2. Stateless failover - когда при отказе основной все сеансы связи сбрасываются; активируется резервная ASA, соединения для всех сеансов устанавливаются заново (использует Failover Link).

[править] Failover link

Любой Ethernet-интерфейс может использоваться в качестве failover-интерфейса, однако нельзя указывать интерфейс, на котором уже задано имя интерфейса.

Failover-интерфейс не настраивается как обычный интерфейс для передачи данных, он существует только для коммуникаций связанных с failover (он может использоваться в качестве stateful failover link).

[править] Stateful failover link

Для того чтобы использовать возможности Stateful Failover, надо настроить stateful failover link для передачи информации о состоянии соединений.

Возможны такие варианты выбора stateful failover link:

  • Выделенный интерфейс
  • Общий интерфейс с failover link
  • Общий интерфейс с обычным интерфейсом для передачи данных. Однако, эту опцию не рекомендуется использовать. Кроме того, она поддерживается только в single context, routed mode.

[править] Синхронизация команд

Команды, которые синхронизируются на standby unit:

  • все команды конфигурационного режима, кроме команд mode, firewall и failover lan unit
  • copy running-config startup-config
  • delete
  • mkdir
  • rename
  • rmdir
  • write memory

Команды, которые не синхронизируются на standby unit:

  • Все формы команды copy, кроме copy running-config startup-config
  • Все формы команды write, кроме write memory
  • crypto ca server и соответствующие подкоманды
  • debug
  • failover lan unit
  • firewall
  • mode
  • show

[править] ASA Active/Standby failover

[править] ASA Modules Failover

  • Модули должны быть настроены отдельно на обоих ASA. При настройке failover, конфигурация модулей не передается.
  • AIP-SSM Things like signature config, virtual sensor setup, filters, and overrides should all be similar, if not exactly the same. This helps to ensure that their behavior is the same.

ASA должны быть с одинаковыми моделями модулей.

[править] Настройка Primary ASA

[править] Настройка standby-адресов

Если ASA работает в режиме routed, то надо настроить standby-адреса на интерфейсах ASA (active-адрес и standby-адрес должны быть из одной сети):

ASA1(config)# interface g0/0
ASA1(config-if)# ip address 11.0.1.1 255.255.255.0 standby 11.0.1.3
ASA1(config)# interface g0/2
ASA1(config-if)# ip address 192.168.1.1 255.255.255.0 standby 192.168.1.3

Если ASA работает в режиме transparent, то надо настроить standby-адрес для управляющего интерфейса (active-адрес и standby-адрес должны быть из одной сети):

ASA1(config)# ip address 192.168.25.1 255.255.255.0 standby 192.168.25.2

[править] Настройка роли primary

Указать, что эта ASA выполняет роль primary unit:

ASA1(config)# failover lan unit primary 

[править] Настройка failover-интерфейса

Указать какой интерфейс будет использоваться для failover:

ASA1(config)# failover lan interface <if-name> <type-number>

Например, интерфейс g 0/2 будет выполнять роль failover-интерфейса и будет называться failover:

ASA1(config)# failover lan interface failover g0/2

Назначить active и standby IP-адреса на failover-интерфейс:

ASA1(config)# failover interface ip failover 192.168.1.1 255.255.255.0 standby 192.168.1.2

Включить интерфейс, который будет выполнять роль failover-интерфейса:

ASA1(config)# interface g0/2
ASA1(config-if)# no shut

[править] Настройка stateful failover-интерфейса

Если необходимо использовать stateful failover, то, кроме предыдущих настроек, необходимо настроить stateful failover-интерфейс.

Указать какой интерфейс будет использоваться в качестве stateful failover-интерфейса:

ASA1(config)# failover link <if-name> <type-number>

Если, например, в качестве stateful failover-интерфейса будет использоваться failover-интерфейс, то достаточно указать имя интерфейса:

ASA1(config)# failover link failover

[править] Включение failover

Включить failover:

ASA1(config)# failover 

Сохранить конфигурацию:

ASA1(config)# wr mem
ASA1(config)# failover key 123456
ASA1(config)# failover lan unit primary
ASA1(config)# sh failover

[править] Настройка Secondary ASA

Удалить существующую конфигурацию

ASA2# write erase
ASA2# reload

[править] Настройка failover-интерфейса

Указать какой интерфейс будет использоваться для failover:

ASA2(config)# failover lan interface <if-name> <type-number>

Например, интерфейс g 0/2 будет выполнять роль failover-интерфейса и будет называться failover:

ASA2(config)# failover lan interface failover g0/2

Назначить active и standby IP-адреса на failover-интерфейс (команда должна в точности повторять команду введенную на primary ASA):

ASA2(config)# failover interface ip failover 192.168.1.1 255.255.255.0 standby 192.168.1.2

Включить интерфейс, который будет выполнять роль failover-интерфейса:

ASA2(config)# interface g0/2
ASA2(config-if)# no shut

[править] Настройка роли secondary

Указать, что эта ASA выполняет роль secondary unit:

ASA2(config)# failover lan unit secondary 

[править] Включение failover

Включить failover:

ASA2(config)# failover 

Сохранить конфигурацию:

ASA2(config)# wr mem
ASA2(config)# failover key 123456
ASA2(config)# failover lan unit secondary
ASA2(config)# sh failover

[править] Проверка failover

Зайти telnet, ssh или подобное

Перегрузить primary ASA

ASA1(config)# sh failover

Возвращаем primary в состояние active:

ASA1(config)# failover active

Statefull failover:

ASA1(config)# failover link MYFAIL
ASA1(config)# failover polltime unit msec 500

Проверить

[править] ASA Active/Active failover

Logical topology.jpeg

[править] Настройка Primary ASA

Перевести в режим нескольких контекстов:

ASA1(config)# mode multiple

Настройка failover интерфейса:

ASA1(config)# interface g0/1
ASA1(config-if)# no shut
ASA1(config)# failover lan interface ip MYFAIL g0/1

ASA1(config)# failover interface ip MYFAIL 192.168.3.1 255.255.255.0 standby 192.168.3.3

Настройка statefull, key, group:

ASA1(config)# failover link MYFAIL g0/1
ASA1(config)# failover key 123456
ASA1(config)# failover lan unit primary
ASA1(config)# failover group 1
ASA1(config)# failover group 2

Проверить настройки:

ASA1(config)# show failover

[править] Настройка context

Указание административного контекста:

ASA1(config)# admin-context adm

При настройке контекста обязательно необходимо указать:

  1. Какие интерфейсы принадлежат контексту
  2. Где хранится конфигурационный файл контекста

Настройка контекста adm:

ASA1(config)# context adm

ASA1(config-ctx)# allocate-interface g0/0
ASA1(config-ctx)# allocate-interface g0/2

ASA1(config-ctx)# config-url disk0:/admin.cfg
ASA1(config-ctx)# join-failover-group 1
ASA1(config-ctx)# exit

Настройка CTX1 context

ASA1(config)# context CTX1

ASA1(config-ctx)# allocate-interface m0/0
ASA1(config-ctx)# allocate-interface g0/3

ASA1(config-ctx)# config-url disk0:/CTX1.cfg
ASA1(config-ctx)# join-failover-group 2
ASA1(config-ctx)# 

ASA1(config)# interface g0/3
ASA1(config-if)# no shut
ASA1(config)# interface m0/0
ASA1(config-if)# no shut
ASA1(config-ctx)# exit

Просмотреть информацию о созданных контекстах:

ASA1(config)# show context
ASA1(config)# sh context detail

Посмотреть файлы записанные конфигурации:

ASA1(config)# sh disk0

Перейти в system:

ASA1(config)# changeto system

Перейти в контекст CTX1:

ASA1(config)# changeto context CTX1


Настройка интерфейсов в контексте CTX1:

[править] Настройка Secondary ASA

[править] Конфигурационные файлы

Схема:

Asa failover scheme.jpg


[править] Конфигурация ASA1

Конфигурация system:

: Saved
: Written by enable_15 at 07:01:02.332 UTC Sat Mar 29 2008
!
ASA Version 7.2(2) <system>
!
hostname ASALeftTop
enable password 8Ry2YjIyt7RRXU24 encrypted
no mac-address auto
!
interface GigabitEthernet0/0
 description LAN/STATE Failover Interface
!
interface GigabitEthernet0/1
!
interface GigabitEthernet0/2
!
interface GigabitEthernet0/3
!
interface Management0/0
!
class default
  limit-resource All 0
  limit-resource ASDM 5
  limit-resource SSH 5
  limit-resource Telnet 5
!

ftp mode passive
pager lines 24
failover
failover lan unit primary
failover lan interface mgmt GigabitEthernet0/0
failover link mgmt GigabitEthernet0/0
failover interface ip mgmt 192.168.7.1 255.255.255.0 standby 192.168.7.2
failover group 1
failover group 2
  secondary
asdm image disk0:/asdm-522.bin
no asdm history enable
arp timeout 14400
console timeout 0

admin-context adm
context adm
  allocate-interface GigabitEthernet0/1 
  allocate-interface GigabitEthernet0/3 
  config-url disk0:/admen.cfg
  join-failover-group 1
!

context ctx
  allocate-interface GigabitEthernet0/2 
  allocate-interface Management0/0 
  config-url disk0:/cont.cfg
  join-failover-group 2
!

prompt hostname context 
Cryptochecksum:a4c93b61ca7a03647449b75edd445b28
: end

Конфигурация контекста adm:

: Saved
: Written by enable_15 at 07:02:03.622 UTC Sat Mar 29 2008
!
ASA Version 7.2(2) <context>
!
hostname adm
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface GigabitEthernet0/1
 nameif inside
 security-level 100
 ip address 192.168.10.1 255.255.255.0 standby 192.168.10.2 
!
interface GigabitEthernet0/3
 nameif outside
 security-level 0
 ip address 10.0.58.11 255.0.0.0 standby 10.0.58.13 
!
passwd 2KFQnbNIdI.2KYOU encrypted
access-list out extended permit icmp 11.0.1.0 255.255.255.0 11.0.1.0 255.255.255.0 
access-list out extended permit ip any any 
access-list out extended permit icmp any any 
pager lines 24
mtu inside 1500
mtu outside 1500
icmp unreachable rate-limit 1 burst-size 1
no asdm history enable
arp timeout 14400
access-group out in interface outside
route inside 192.168.30.0 255.255.255.0 192.168.10.10 1
route inside 192.168.40.0 255.255.255.0 192.168.10.10 1

Конфигурация контекста ctx:

: Saved
: Written by enable_15 at 07:04:42.425 UTC Sat Mar 29 2008
!
ASA Version 7.2(2) <context>
!
hostname ctx
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface GigabitEthernet0/2
 nameif inside
 security-level 100
 ip address 192.168.20.1 255.255.255.0 standby 192.168.20.2 
!
interface Management0/0
 nameif outside
 security-level 0
 ip address 10.0.58.12 255.0.0.0 standby 10.0.58.14 
!
passwd 2KFQnbNIdI.2KYOU encrypted
pager lines 24
mtu inside 1500
mtu outside 1500
icmp unreachable rate-limit 1 burst-size 1
no asdm history enable
arp timeout 14400
route inside 192.168.30.0 255.255.255.0 192.168.20.10 1
route inside 192.168.40.0 255.255.255.0 192.168.20.10 1

[править] Конфигурация ASA2


[править] Конфигурация sw1

!
version 12.2
!
hostname sw1
!
ip routing
!
!
vlan 10,20,30,40 
!
!
!
interface FastEthernet0/1
 switchport access vlan 10
 switchport mode dynamic desirable
!
interface FastEthernet0/2
 switchport access vlan 10
 switchport mode dynamic desirable
!
interface FastEthernet0/3
 switchport access vlan 30
 switchport mode dynamic desirable
!
!
interface Vlan1
 no ip address
 shutdown
!
interface Vlan10
 ip address 192.168.10.10 255.255.255.0
!
interface Vlan20
 ip address 192.168.20.11 255.255.255.0
!
interface Vlan30
 ip address 192.168.30.1 255.255.255.0
!
interface Vlan40
 ip address 192.168.40.2 255.255.255.0
!
ip route 0.0.0.0 0.0.0.0 192.168.10.1

[править] Конфигурация sw2


!
version 12.2
!
hostname sw2
!
!
ip routing
!
!
!
interface GigabitEthernet0/1
 switchport access vlan 20
 switchport mode access
!
interface GigabitEthernet0/2
 switchport access vlan 20
 switchport mode access
!
interface GigabitEthernet0/3
 switchport access vlan 40
 switchport mode access
!
!
interface GigabitEthernet0/24
 switchport trunk encapsulation dot1q
 switchport mode trunk
!
!
interface Vlan1
 no ip address
 shutdown
!
interface Vlan10
 ip address 192.168.10.11 255.255.255.0
!
interface Vlan20
 ip address 192.168.20.10 255.255.255.0
!
interface Vlan30
 ip address 192.168.30.11 255.255.255.0
!
interface Vlan40
 ip address 192.168.40.10 255.255.255.0
!
ip default-gateway 192.168.20.1
ip classless
ip route 0.0.0.0 0.0.0.0 192.168.10.1
!
!

[править] Дополнительная информация