《ASA配置failover实例》由会员分享,可在线阅读,更多相关《ASA配置failover实例(5页珍藏版)》请在金锄头文库上搜索。
1、.案列:某公司使用一台ASA5520 作为内外网安全设备及互联网出口,现网还有一台ASA5520 也放置于出口,但两台设备没有形成HA ,并没有配置 failover 。出于提升网络安全性和冗余的考虑,现对设备进行failover 配置。整个配置过程内容如下:前提条件要实现 failover,两台设备需要满足以下的一些条件:1.相同的设备型号和硬件配置:设备模块、接口类型,接口数量, CPU,内存, flash 闪存等2.相同的软件版本号,此处即指ASA 的 IOS 版本, IOS 版本需要高于 7.03.相同的 FW 模式,必须同为路由模式或者透明模式4.相同的特性集,如支持的加密同为DES
2、 或者 3DES5.合适的 licensing,两台设备的 license 符合基本要求,能支持相同的failover除了以上的几点之外,两台ASA 实现失效转移 failover 还需要按照情况制作对应的 failover/stateful 心跳线,可以是交叉网线。经过比对两台 ASA5520 的以上相关信息,发现目前两台ASA 防火墙的 IOS版本不一致, ASA-A 是“ asa804-3-k8.bin,Software Version 8.0(4)3”, ASA-B 是“ asa821-k8.bin,Software Version 8.2(1)”。通过比对还发现,两台 ASA 支持的
3、 License features虽并不一致,但事实上,实现 failover 不需要 license features完全一致,只要关键的几个特性如支持 failover 类型相同即可。所以,此两台设备如果要实现 failover ,则必须首先要做的就是使用 ASA-B 的升级 ASA-A 的 IOS 至 8.2(1),或者将 ASA-B 的 IOS 降低至 8.0( 4)3 版本,不推荐使用降级 IOS 的方式,所以下面的小节将给出实现 failover 前升级 ASA-A 的 IOS 具体操作过程(命令脚本)。升级 IOS 方案此以升级 ASA-A 的 IOS 到 8.2(1)版本来说明
4、。降级 OS 的操作步骤类似。说明:因为两台 ASA5520 的硬件配置一样,所以 8.2(1)版本的 IOS 是可以支持所有 ASA-A 的功能及软硬件配置的。所以,升级方案是完全兼容现有硬件的。首先,将需要把ASA-B 的 IOS 镜像文件以及 ASDM 镜像文件拷出来。1 / 5.1.asa-b(config)#dir/ 显示文件目录2.#copy disk0:/asa821-k8.bin tftp:拷贝 ASA-B的 IOS 镜像到 TFTP服务器3.#copy disk0:/asdm-621.bin tftp:拷贝 ASA-B的 ASDM镜像到 TFTP服务器接下来的就是升级过程了1
5、.asa(config)# dir/ 显示文件目录2.copy disk0:/asa804-3-k8.bin tftp:/ 将原有 IOS 文件备份到 TFTP服务器上3.copy disk0:/asdm-615.bin tftp:/ 将原有 asdm文件备份到 TFTP服务器上4.copy tftp: disk0:/ 将新的 IOS 文件从 TFTP服务器上拷贝到 ASA中,需要指定 TFTP上的镜像文件名 asa821-k8.bin5.copy tftp: disk0:/ 将新的 ASDM镜像文件从 TFTP服务器上拷贝到 ASA中,指定 ASDM镜像名 asdm -621.bin6.as
6、a(config)# dir/ 再次显示目录,检查文件是否拷贝成功7.asa(config)# no boot system disk0:/asa804-3-k8.bi n/ 取消原来的启动文件关联8.asa(config)# dirasa(config)# boot system disk0:/asa821-k8.binasa(config)# asdm image disk0:/asdm-621.bin/ 设置 IOS 文件及 ASDM文件的关联Device Manager image set, but not a valid image file disk0:/asdm-603.bin/
7、 由于新的 IOS 文件在重新启动前并未生效,所以会提示新的 ASDM镜像在设置关联的时候会提示无效。asa(config)# exit2 / 5的其他设置可以不用ASA-B#copy run.9.asa# wr/ 保存配置10.asa# reload重启 ASA-A,使设置生效至此, IOS 升级完毕,通过 show tech 查看 ASA-A 的信息是否与 ASA-B 一致,如果没有问题,就可以进行正式的 failover 配置工作了。为 ASA 配置 failover升级完毕 IOS 后,接下来的就是进行failover 的配置设置了。考虑到现网的情况,作为业务和互联网出口的主要安全设备
8、是ASA-A ,并且该设备目前的负荷不高,完全可以满足现网需求,因此,本方案采用active/standby的 failover 方式,并且,由于理论以及实际环境的限制,本方案采用 LAN-based failover 模式。首先,做配置前需要做以下测试(这几项测试非必要,可以不进行)。1. 测试各个以太口和 serial-cable口的连通性2. 测试网络 activity3. 测试 arp,读取设备的 arp cache中最新学习到的 10 个条目4.测试广播 ping,如 ping 同一个内网的广播地址,如然后,两台 ASA5520 断电,断电时使用 普通交叉网线 连接两台 ASA552
9、0 设备的以太网口,然后开启 active(primary )设备。注意:作为 secondary 的 ASA-B 此时不能加电。同时,若确定 ASA-B 不用承载任何业务和安全检测功能,可以考虑事先将其配置备份(tftp: ),然后再清空 ASA-B 的配置后执行 failover 配置。接下来是配置 primary(active)设备 ASA-A ,ASA-A修改。1. ASA-A(config)# interface GigabitEthernet0/3 ASA-A(config-if)# no shut2. ASA-A(config)# failover lan interface L
10、ANFAIL GigabitEthernet0/33./根据实际情况设置IP 信息3 / 5.4. ASA-A(config)# failover lan unit primary /设置设备 ASA-A 为 primary5. ASA-A(config)# failover key 1234567/配置 failover 的共享密钥6. ASA-A(config)# failover /enable failover7. ASA-A(config)# failover link LANFAIL /配置全状态 stateful 下 failover8. ASA-A#wr/保存配置到 flash
11、再接下来,加电启动ASA-B ,配置 secondary的 ASA-B 为 standby。9. ASA-B(config)# interface GigabitEthernet0/3 ASA-B(config-if)# no shut10. ASA-B(config)# failover lan interface LANFAIL GigabitEthernet0/311./根据实际情况设置IP 信息, primary 和 secondary一样12. ASA-B(config)# failover lan unit secondary /设置设备 ASA-B 为 secondary13.
12、ASA-B(config)# failover key 1234567/配置 failover 的共享密钥14. ASA-B(config)# failover /enable failover15. ASA-B#wr/保存配置到 flash由于实际环境中,接口物理MAC 地址不能保证 100%可用,所以 HighAvailable 的配置通常还要加配虚拟MAC 地址。16.最后,配置完毕后, ASA-A 向 ASA-B 复制配置,这个过程通常需要几分钟时间。这个过程是可监督的,可以在ASA-B 上使用如下方式查看。4 / 5.ASA-B# show failoverFailover OnFa
13、ilover unit SecondaryFailover LAN Interface: LANFAIL GigabitEthernet0/3 (up) Unit Poll frequency 500 milliseconds, holdtime 6 seconds Interface Poll frequency 600 milliseconds, holdtime 15 seconds Interface Policy 1Monitored Interfaces 3 of 250 maximumVersion: Ours 7.2(1), Mate 7.2(1)Output ommit至此,整个的failover 就算完成了。5 / 5
