CiscoASAFailover防火墙冗余

合集下载

ASA双主Failover配置操作

ASA双主Failover配置操作

ASA Active/Acitve FO注:以下理论部分摘自百度文库:ASA状态化的FO配置,要在物理设备起用多模式,必须创建子防火墙。

在每个物理设备上配置两个Failover组(failover group),且最多配置两个。

Failover特性是Cisco安全产品高可用性的一个解决方案,目的是为了提供不间断的服务,当主设备down掉的时候,备用设备能够马上接管主设备的工作,进而保持通信的连通性;Failover配置要求两个进行Failover的设备通过专用的failover线缆和可选的Stateful Failover线缆互相连接;活动设备的接口被monitor,用于发现是否要进行Failover切换Failover分为failover和Stateful Failover,即故障切换和带状态的故障切换。

不带状态的failover在进行切换的时候,所有活动的连接信息都会丢失,所有Client都需要重新建立连接信息,那么这会导致流量的间断。

带状态的failover,主设备将配置信息拷贝给备用设备的同时,也会把自己的连接状态信息拷贝给备用设备,那么当主的设备down的时候,由于备用设备上保存有连接信息,因此Client不需要重新建立连接,那么也就不会导致流量的中断。

Failover link两个failover设备频繁的在failover link上进行通信,进而检测对等体的状态。

以下信息是通过failover link通信的信息:●设备状态(active or standby);●电源状态(只用于基于线缆的failover;)●Hello messages (keep-alives);●Network link 状态;●MAC地址交换;●配置的复制和同步;(Note :所有通过failover 和stateful failover线缆的信息都是以明文传送的,除非你使用failover key来对信息进行加密;)Stateful link在stateful link上,拷贝给备用设备的连接状态信息有:●NAT 转换表;●TCP连接状态;●UDP连接状态;●ARP表●2层转发表(运行在透明模式的时候)●HTTP连接状态信息(如果启用了HTTP复制)●ISAKMP和IPSec SA表●GTP PDP连接数据库以下信息不会拷贝给备用设备:●HTTP连接状态信息(除非启用了HTTP复制)●用户认证表(uauth)●路由表●DHCP服务器地址租期Failover包括LAN-Based Failover和Cable-Based Failover;对于PIX设备,只支持基于线缆(Cable-Based)的Failover;Failover linkLAN-Based Failover link 可以使用未使用的接口来作为failover link。

ASA双主 Failover配置操作

ASA双主 Failover配置操作

ASA Active/Acitve FO注:以下理论部分摘自百度文库:ASA状态化的FO配置,要在物理设备起用多模式,必须创建子防火墙。

在每个物理设备上配置两个Failover组(failover group),且最多配置两个。

Failover特性是Cisco安全产品高可用性的一个解决方案,目的是为了提供不间断的服务,当主设备down掉的时候,备用设备能够马上接管主设备的工作,进而保持通信的连通性;Failover配置要求两个进行Failover的设备通过专用的failover线缆和可选的Stateful Failover线缆互相连接;活动设备的接口被monitor,用于发现是否要进行Failover切换Failover分为failover和Stateful Failover,即故障切换和带状态的故障切换。

不带状态的failover在进行切换的时候,所有活动的连接信息都会丢失,所有Client都需要重新建立连接信息,那么这会导致流量的间断。

带状态的failover,主设备将配置信息拷贝给备用设备的同时,也会把自己的连接状态信息拷贝给备用设备,那么当主的设备down的时候,由于备用设备上保存有连接信息,因此Client不需要重新建立连接,那么也就不会导致流量的中断。

Failover link两个failover设备频繁的在failover link上进行通信,进而检测对等体的状态。

以下信息是通过failover link通信的信息:●设备状态(active or standby);●电源状态(只用于基于线缆的failover;)●Hello messages (keep-alives);●Network link 状态;●MAC地址交换;●配置的复制和同步;(Note :所有通过failover 和stateful failover线缆的信息都是以明文传送的,除非你使用failover key来对信息进行加密;)Stateful link在stateful link上,拷贝给备用设备的连接状态信息有:●NAT 转换表;●TCP连接状态;●UDP连接状态;●ARP表●2层转发表(运行在透明模式的时候)●HTTP连接状态信息(如果启用了HTTP复制)●ISAKMP和IPSec SA表●GTP PDP连接数据库以下信息不会拷贝给备用设备:●HTTP连接状态信息(除非启用了HTTP复制)●用户认证表(uauth)●路由表●DHCP服务器地址租期Failover包括LAN-Based Failover和Cable-Based Failover;对于PIX设备,只支持基于线缆(Cable-Based)的Failover;Failover linkLAN-Based Failover link 可以使用未使用的接口来作为failover link。

Cisco防火墙双机配置文档

Cisco防火墙双机配置文档

CISCO PIX/ASA Failover 技术是一项故障转移配置的技术,需要两台完全一样的设备,通过一个连接,连接到对方(这个连接也叫心跳线)。

该技术用到的两台设备分为:主用和备用,备用处于待机状态。

当主用设备故障后,备用设备可启用,并设置为主用,运行自主用设备复制过来的配置(配置是跟随主用设备移动的),从而解决单点故障。

本次配置主用和备用之间采用两根心跳线,一根用于数据同步,一根用于状态同步。

配置之前请将用做心跳线的端口激活。

primary的配置(主用):asa1(configif)# failover lan enable //启用基于LAN的Failover(适用于PIX) asa1(config)# failover lan unit primary //指定设备的角色asa1(config)# failover lan interface FO e2 //指定Failover 接口INFO: Nonfailover interface config is cleared on Ethernet2 and its subint erfacesasa1(config)# failover interface ip FO 192.168.1.1 255.255.255.0 standby 192.168.1.2 //配置FO IP地址(用于数据同步);asa1(config) # failover link STA e3//指定state接口的为e3,并命名为STA asa1(config) # failover interface ip STA 192.168.2.1 255.255.255.0 standby 192.168.2.2//指定名字为STA的接口IP(用于状态同步);asa1(config)# failover lan key ccxx //配置Failover key (用于对通讯加密,可配置也可不配)asa1(config)# failover //启用Failover;注意,此命令一定要先在Active上输入,否则会引起配置拷错;将一个接口指定为failover 接口后,再show inter 的时候,该接口就显示为:interface Ethernet3description LAN Failover Interfacesecondary的配置(备用):asa1(configif)# failover lan enable //启用基于LAN的Failover(适用于PIX) asa1(config)# failover lan unit secondary //指定设备的角色asa1(config)# failover lan interface FO e2 //指定Failover 接口INFO: Nonfailover interface config is cleared on Ethernet2 and its subint erfacesasa1(config)# failover interface ip FO 192.168.1.1 255.255.255.0 standby 192.168.1.2 //配置FO IP地址(用于数据同步);asa1(config) # failover link STA e3//指定state接口的为e3,并命名为STA asa1(config) # failover interface ip STA 192.168.2.1 255.255.255.0 standby 192.168.2.2//指定名字为STA的接口IP(用于状态同步);asa1(config)# failover lan key ccxx //配置Failover key (用于对通讯加密,可配置也可不配)asa1(config)# failover //启用Failover;注意,此命令一定要先在Active上输入,否则会引起配置拷错;查看failover命令如下:show run | include faiover注:配置成功后将看到六条命令行。

failover

failover

ASA failover (防火墙的故障倒换) 实验拓扑图:实验目的:以前我们在讲网关备份是讲了一个vrrp,今天这个实验跟那个原理差不多,今天这个就是对防火墙进行备份。

就以上面的拓扑图来说。

防火墙在公司网络的边界上,用来保护公司的网络安全,但是如果有一天防火墙出现什么故障的话,那么该网络就会受到一系列不安全的攻击。

所以我们想想对防火墙也做一个备份的话,对网络的安全实现一个冗余的功能那是不是更好呢?在主防火墙和备份防火墙之间,通常有两根线是相连着的,其中一根是用来监测对防火墙的状态的,叫作failover线,这是一种专业用在防火墙上实现failover的线(不需要配置),可以用以太网线代替,不过需要配置。

另外一种线叫作stateful线,用在防火墙发生故障的那一时间时,将流量的状态发送给备份防火墙,让备份防火墙继续为该流量服务。

在正常的情况下,内部网络的流量全部都是走主防火墙,不会走备份的那个防火墙,并且主防火墙与备份防火墙之间会实现一个实时的策略和状态的更新同步,避免发生故障时,对流量的丢弃。

当故障发生时,备份防火墙会立即切换为主防火墙,继续为网络服务。

首先配置分布层和外网的网络SW1# 在多层交换机上创建几个vlan,并且为vlan配置IP地址以及将接口加入到vlan中。

开启多层交换机的路由功能。

两个交换机的配置差不多一样SW1#vlan daSW1(vlan)#vlan 2VLAN 2 added:Name: VLAN0002SW1(vlan)#vlan 3VLAN 3 added:Name: VLAN0003SW1(vlan)#vlan 100VLAN 100 added:Name: VLAN0100SW1(vlan)#SW1(vlan)#exitAPPLY completed.Exiting....SW1#SW1(config)#inter f1/13SW1(config-if)#sw mo acSW1(config-if)#sw ac vlan 2SW1(config-if)#inter f1/10SW1(config-if)#sw mo acSW1(config-if)#sw ac vlan 100SW1(config-if)#inter range f1/11 - 12SW1(config-if-range)#sw mo trSW1(config-if-range)#sw tr en doSW1(config-if-range)#exitSW1(config)#SW1(config)#inter vlan 2SW1(config-if)#ip add 192.168.2.254 255.255.255.0 SW1(config-if)#no shSW1(config-if)#inter vlan 3SW1(config-if)#ip add 192.168.3.254 255.255.255.0 SW1(config-if)#no shSW1(config-if)#inter vlan 100SW1(config-if)#ip add 192.168.100.254 255.255.255.0 SW1(config-if)#no shSW1(config-if)#exitSW1(config)# ip routing配置外网:ISP(config)#inter f0/0ISP(config-if)#ip add 202.100.1.1 255.255.255.0ISP(config-if)#no shISP(config-if)#exitISP(config)#line vty 0 4ISP(config-line)#no loginISP(config-line)#exitISP(config)#ip route 0.0.0.0 0.0.0.0 202.100.1.2 写一条默认路由通向内网ISP(config)#PC配置:pc1(config)#inter f0/0pc1(config-if)#ip add 192.168.2.1 255.255.255.0pc1(config-if)#no shpc1(config-if)#exitpc1(config)#no ip routingpc1(config)#ip default-gateway 192.168.2.254 将自己所在的vlan的IP地址作为自己的网关pc1(config)#pc1(config)#exit=================pc2(config)#inter f0/0pc2(config-if)#ip add 192.168.3.1 255.255.255.0pc2(config-if)#no shpc2(config-if)#exitpc2(config)#no ip routingpc2(config)#ip default-gateway 192.168.3.254pc2(config)#======================================================测试一下,分布层网络互通。

思科防火墙Failover故障倒换实验

思科防火墙Failover故障倒换实验

思科防火墙Failover故障倒换实验实验要求:1、根据拓扑为防火墙/内网主机/互联网设备配置IP地址2、配置PIX1(防火墙)配置访问Internet基本配置3、配置PIX2上配置状态化Failover-STANDBY4、配置PIX1上状态化Failover-ACTIVE实验步骤1、根据拓扑为防火墙/内网主机/互联网设备配置 IP 地址;R1:ip route 0.0.0.0 0.0.0.0 192.168.1.2542、配置 PIX1 配置访问 INTERNET 基本配置;PX1:interface e1no shutdownnameif outsidesecurity-level 0ip address 100.1.1.254 255.255.255.0interface e0no shutdownnameif insidesecurity-level 100ip address 192.168.1.254 255.255.255.0route outside 0.0.0.0 0.0.0.0 100.1.1.1access-list NAT permit ip 192.168.1.0 255.255.255.0 any nat (inside) 1 access-list NATglobal (outside) 1 interfacefixup protocol icmp3、配置 PIX2 上配置状态化 Failover-STANDBY;interface e2no shutdowninterface e3no shutdownfailoverfailover lan enablefailover key ciscofailover lan unit secondaryfailover lan interface Failover e2failover interface ip Failover 10.1.12.1 255.255.255.0 standby 10.1.12.2failover link sta-failover e3failover interface ip sta-failover 10.2.12.1 255.255.255.0 standby 10.2.12.24、配置 PIX1 上状态化 Failover-ACTIVE。

部署CiscoASA防火墙解决方案FIREWALLv1.0考试

部署CiscoASA防火墙解决方案FIREWALLv1.0考试

部署CiscoASA防火墙解决方案FIREWALLv1.0考试部署Cisco ASA防火墙解决方案FIREWALL v1.0考试部署Cisco ASA防火墙解决方案 (FIREWALL v1.0)考试是与CCSP、CCNP安全和Cisco ASA 专业技术员认证相关的考试。

该考试主要检验考生在实施和维护基于Cisco ASA的边界解决方案方面所需的知识和技能。

成功通过考试的.考生将能够降低使用Cisco ASA特性的IT基础设施和应用的风险,并为Cisco ASA提供详细的运营支持。

考生可以通过学习“部署Cisco ASA防火墙v1.0”课程来准备该考试。

Exam DescriptionThe 642-618 Deploying Cisco ASA Firewall Solutions (FIREWALL v2.0) exam is associated with the CCNP Security and Cisco Firewall Specialist certifications. This exam tests a candidate's knowledge and skills needed to implement and maintain Cisco ASA-based perimeter solutions. Successful graduates will be able to reduce risk to the IT infrastructure and applications using Cisco ASA features, and provide detailed operations support for the Cisco ASA. Candidates can prepare for this exam by taking the Deploying Cisco ASA Firewall Solutions course.Exam TopicsThe following information provides general guidelines for the content likely to be included on the exam. However, other related topics may also appear on any specific delivery of the exam. In order to better reflect the contents of the exam and for clarity purposes the guidelines below may change at any time without notice.Cisco ASA adaptive security appliance Basic ConfigurationsIdentify the ASA product familyImplement ASA licensingManage the ASA boot processImplement ASA interface settingsImplement ASA management featuresImplement ASA access control featuresImplement Network Address Translation (NAT) on the ASA Implement ASDM public server featureImplement ASA quality of service (QoS) settingsImplement ASA transparent firewallASA Routing FeaturesImplement ASA static routingImplement ASA dynamic routingASA Inspection PolicyImplement ASA inspections featuresASA Advanced Network ProtectionsImplement ASA Botnet traffic filterASA High AvailabilityImplement ASA Interface redundancy and load sharing featuresImplement ASA virtualization featureImplement ASA stateful failover【部署Cisco ASA防火墙解决方案FIREWALL v1.0考试】。

ciscoASA防火墙详细配置

ciscoASA防火墙详细配置

access-list 102 extended permit icmp any any
------------------ 设 置
ACL 列表(允许 ICMP 全部通过)
access-list 102 extended permit ip any any 列表(允许所有 IP 全部通过) pager lines 24 mtu outside 1500 mtu inside 1500 icmp unreachable rate-limit 1 burst-size 1 no asdm history enable
address
218.16.37.222
255.255.255.192
------------------vlan2 配置 IP
asa5505(config)#show ip address vlan2 ------------------验证配置
5.端口加入 vlan
asa5505(config)# interface e0/3 ------------------进入接口 e0/3
cisco-asa-5505 基本配置
interface Vlan2nameif outside ----------------------------------------对端口命名外端口
security-level 0 ----------------------------------------设置端口等级
有地址)0 无最大会话数限制
access-group 102 in interface outside
------------------―――设置 ACL
列表绑定到外端口 端口绑定
route outside 0.0.0.0 0.0.0.0 x.x.x.x 1 路由

思科ASA防火墙配置

思科ASA防火墙配置

配置PIX Failover简介:本文描述了Pix Failover特性的配置。

Failover的系统需求要配置pix failover需要两台PIX满足如下要求:∙型号一致(PIX 515E不能和PIX 515进行failover)∙软件版本相同∙激活码类型一致(都是DES或3DES)∙闪存大小一致∙内存大小一致Failover中的两个设备中,至少需要一个是UR的版本,另一个可以是FO或者UR 版本。

R版本不能用于Failover,两台都是FO版版也不能用于同一个Failover环境。

注意 Pix501、Pix506/506E均不支持Failover特性。

理解FailoverFailover可以在主设备发生故障时保护网络,在配置了Stateful Failover的情况下,在从主Pix迁移到备PIX时可以不中断TCP连接。

Failover发生时,两个设备都将改变状态,当前活动的PIX将自己的IP和MAC地址都改为已失效的PIX的相应的IP和MAC地址,并开始工作。

而新的备用PIX则将自己的IP和MAC设置为原备份地址。

对于其它网络设备来说,由于IP和MAC都没改变,在网络中的任何地方都不需要改变arp 表,也不需要等待ARP超时。

一旦正确配置了主Pix,并将电缆连接正确,主Pix将自动把配置发送到备份的PIX 上面。

Failover可以在所有的以太网接口上工作良好,但Stateful Failover所使用的接口只能是百兆或千兆口。

在未配置Failover或处于Failover活动状态时,pix515/515E/525/535前面板上的ACT指示灯亮,处于备用状态时,该灯灭。

将两台PIX连在一起做Fairover有两种方式:使用一条专用的高速Failover电缆做基于电缆的Failover,或者使用连接到单独的交换机/VLAN间的单独的接口的基于网络的的Failover。

如果做stateful Failover或做基于网络的Failover时,推荐使用100兆全双工或千兆连接。

  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

Failover
Failover是思科防火墙一种高可用技术,能在防火墙发生故障时数秒内转移配置到另一台设备,使网络保持畅通,达到设备级冗余的目的。

原理
前提需要两台设备型号一样(型号、内存、接口等),通过一条链路连接到对端(这个连接也叫)。

该技术用到的两台设备分为Active设备(Primary)和Stanby设备(Secondary),这种冗余也可以叫AS模式。

活跃机器处于在线工作状态,备用处于实时监控活跃设备是否正常。

当主用设备发生故障后(接口down,设备断电),备用设备可及时替换,替换为Avtive的角色。

Failover启用后,Primary 设备会同步配置文件文件到Secondary设备,这个时候也不能在Scondary添加配置,配置必须在Active进行。

远程管理Failover设备时,登录的始终是active设备这一点一定要注意,可以通过命令(show failover)查看当时所登录的物理机器。

目前启用failover技术不是所有状态化信息都可以同步,比如NAT转换需要再次建立。

配置Active设备:
interface Ethernet0
nameif outside
security-level 0
ip address standby //standby为备份设备地址
interface Ethernet1
nameif inside
security-level 100
ip address standby
ASA1(config)# failover lan unit primary //指定设备的角色主
ASA1(config)# failover lan interface failover Ethernet2 //Failover接口名,可自定义
ASA1(config)# failover link Fover Ethernet2//状态信息同步接口ASA1(config)# failover interface ip failover stan //配置Failover IP地址,该网段可使用私网地址
ASA1(config)# failover lan key xxxx //配置Failover 认证对端
ASA1(config)# failover //启用Failover;注意,此命令一定要先在Active上输入,否则会引起配置拷错;
将一个接口指定为failover 接口后,再show inter 的时候,该接口就显示为:interface Ethernet3
description LAN Failover Interface //确保接口up
配置standby设备:
ASA2(config)# inte Ethernet3
ASA2(configif)# no shutdown
ASA2(configif)# exit
ASA2(config)# failover lan unit secondary
ASA2(config)# failover lan interface failover Ethernet03
ASA1(config)# failover link Fover Ethernet2
ASA2(config)#failover inter ip failover standby failover key xxxx ASA2(config)# failover //先在Active设备运行此命令
两台设备同步信息后,配置只能在Active进行,备份设备hostname会和主设备相同。

远程网管时无法确定当前管理的设备,可使用show failover 查看,或者使用命令:
ASA1(config)# prompt hostname priority state
ASA1/pri/act(config)# //primary 设备active设备状态
ASA1(config)# prompt hostname priority state
ASA1/sec/stby(config)# //secondary设备standby状态
其他配置信息:
No failover active //主设备切换为备份状态
Failover active//切换为active状态
Show run failover //查看配置
Show failover //同ASA1(config)# show failover (以下是执行信息)
Failover On //开启状态
Failover unit Primary
Failover LAN Interface: Fover GigabitEthernet2 (up)
Unit Poll frequency 1 seconds, holdtime 15 seconds
Interface Poll frequency 5 seconds, holdtime 25 seconds
Interface Policy 1
Monitored Interfaces 2 of 60 maximum
Version: Ours (2), Mate (2)
Last Failover at: 21:05:31 UTC Apr 29 2016
This host: Primary - Standby Ready //主设备地址,是备份状态
Active time: 4440 (sec)
Interface outside Normal (Waiting)
Interface inside Normal (Waiting)
Other host: Secondary - Active //备设备地址,目前是主用设备
Active time: 533 (sec)
Interface outside Unknown (Waiting)
Interface inside Unknown (Waiting)
Stateful Failover Logical Update Statistics
Link : Fover GigabitEthernet2 (up)
Stateful Obj xmit xerr rcv rerr
General 670 0 646 0
sys cmd 641 0 641 0
up time 0 0 0 0
RPC services 0 0 0 0
TCP conn 0 0 0 0
UDP conn 26 0 1 0
ARP tbl 2 0 3 0
Xlate_Timeout 0 0 0 0
IPv6 ND tbl 0 0 0 0
VPN IKEv1 SA 0 0 0 0
VPN IKEv1 P2 0 0 0 0
VPN IKEv2 SA 0 0 0 0
VPN IKEv2 P2 0 0 0 0
VPN CTCP upd 0 0 0 0
VPN SDI upd 0 0 0 0
VPN DHCP upd 0 0 0 0
SIP Session 0 0 0 0
Route Session 0 0 0 0
User-Identity 1 0 1 0
Logical Update Queue Information
Cur Max Total
Recv Q: 0 9 1262
Xmit Q: 0 30 5753
ASA1(config)#。

相关文档
最新文档