CiscoASAFailover防火墙冗余

ASA Active/Acitve FO注：以下理论部分摘自百度文库：ASA状态化的FO配置，要在物理设备起用多模式，必须创建子防火墙。

在每个物理设备上配置两个Failover组（failover group），且最多配置两个。

Failover特性是Cisco安全产品高可用性的一个解决方案，目的是为了提供不间断的服务，当主设备down掉的时候，备用设备能够马上接管主设备的工作，进而保持通信的连通性；Failover配置要求两个进行Failover的设备通过专用的failover线缆和可选的Stateful Failover线缆互相连接；活动设备的接口被monitor，用于发现是否要进行Failover切换Failover分为failover和Stateful Failover，即故障切换和带状态的故障切换。

不带状态的failover在进行切换的时候，所有活动的连接信息都会丢失，所有Client都需要重新建立连接信息，那么这会导致流量的间断。

带状态的failover，主设备将配置信息拷贝给备用设备的同时，也会把自己的连接状态信息拷贝给备用设备，那么当主的设备down的时候，由于备用设备上保存有连接信息，因此Client不需要重新建立连接，那么也就不会导致流量的中断。

Failover link两个failover设备频繁的在failover link上进行通信，进而检测对等体的状态。

以下信息是通过failover link通信的信息：●设备状态（active or standby）；●电源状态（只用于基于线缆的failover；）●Hello messages （keep-alives）；●Network link 状态；●MAC地址交换；●配置的复制和同步；（Note ：所有通过failover 和stateful failover线缆的信息都是以明文传送的，除非你使用failover key来对信息进行加密；）Stateful link在stateful link上，拷贝给备用设备的连接状态信息有：●NAT 转换表；●TCP连接状态；●UDP连接状态；●ARP表●2层转发表（运行在透明模式的时候）●HTTP连接状态信息（如果启用了HTTP复制）●ISAKMP和IPSec SA表●GTP PDP连接数据库以下信息不会拷贝给备用设备：●HTTP连接状态信息（除非启用了HTTP复制）●用户认证表（uauth）●路由表●DHCP服务器地址租期Failover包括LAN-Based Failover和Cable-Based Failover；对于PIX设备，只支持基于线缆（Cable-Based）的Failover；Failover linkLAN-Based Failover link 可以使用未使用的接口来作为failover link。

ASA Active/Acitve FO注：以下理论部分摘自百度文库：ASA状态化的FO配置，要在物理设备起用多模式，必须创建子防火墙。

在每个物理设备上配置两个Failover组（failover group），且最多配置两个。

Failover特性是Cisco安全产品高可用性的一个解决方案，目的是为了提供不间断的服务，当主设备down掉的时候，备用设备能够马上接管主设备的工作，进而保持通信的连通性；Failover配置要求两个进行Failover的设备通过专用的failover线缆和可选的Stateful Failover线缆互相连接；活动设备的接口被monitor，用于发现是否要进行Failover切换Failover分为failover和Stateful Failover，即故障切换和带状态的故障切换。

不带状态的failover在进行切换的时候，所有活动的连接信息都会丢失，所有Client都需要重新建立连接信息，那么这会导致流量的间断。

带状态的failover，主设备将配置信息拷贝给备用设备的同时，也会把自己的连接状态信息拷贝给备用设备，那么当主的设备down的时候，由于备用设备上保存有连接信息，因此Client不需要重新建立连接，那么也就不会导致流量的中断。

Failover link两个failover设备频繁的在failover link上进行通信，进而检测对等体的状态。

以下信息是通过failover link通信的信息：●设备状态（active or standby）；●电源状态（只用于基于线缆的failover；）●Hello messages （keep-alives）；●Network link 状态；●MAC地址交换；●配置的复制和同步；（Note ：所有通过failover 和stateful failover线缆的信息都是以明文传送的，除非你使用failover key来对信息进行加密；）Stateful link在stateful link上，拷贝给备用设备的连接状态信息有：●NAT 转换表；●TCP连接状态；●UDP连接状态；●ARP表●2层转发表（运行在透明模式的时候）●HTTP连接状态信息（如果启用了HTTP复制）●ISAKMP和IPSec SA表●GTP PDP连接数据库以下信息不会拷贝给备用设备：●HTTP连接状态信息（除非启用了HTTP复制）●用户认证表（uauth）●路由表●DHCP服务器地址租期Failover包括LAN-Based Failover和Cable-Based Failover；对于PIX设备，只支持基于线缆（Cable-Based）的Failover；Failover linkLAN-Based Failover link 可以使用未使用的接口来作为failover link。

CISCO PIX/ASA Failover 技术是一项故障转移配置的技术，需要两台完全一样的设备，通过一个连接，连接到对方（这个连接也叫心跳线）。

该技术用到的两台设备分为：主用和备用，备用处于待机状态。

当主用设备故障后，备用设备可启用，并设置为主用，运行自主用设备复制过来的配置（配置是跟随主用设备移动的），从而解决单点故障。

本次配置主用和备用之间采用两根心跳线，一根用于数据同步，一根用于状态同步。

配置之前请将用做心跳线的端口激活。

primary的配置(主用)：asa1(configif)# failover lan enable //启用基于LAN的Failover(适用于PIX) asa1(config)# failover lan unit primary //指定设备的角色asa1(config)# failover lan interface FO e2 //指定Failover 接口INFO: Nonfailover interface config is cleared on Ethernet2 and its subint erfacesasa1(config)# failover interface ip FO 192.168.1.1 255.255.255.0 standby 192.168.1.2 //配置FO IP地址（用于数据同步）；asa1(config) # failover link STA e3//指定state接口的为e3，并命名为STA asa1(config) # failover interface ip STA 192.168.2.1 255.255.255.0 standby 192.168.2.2//指定名字为STA的接口IP（用于状态同步）；asa1(config)# failover lan key ccxx //配置Failover key （用于对通讯加密，可配置也可不配）asa1(config)# failover //启用Failover；注意，此命令一定要先在Active上输入，否则会引起配置拷错；将一个接口指定为failover 接口后，再show inter 的时候，该接口就显示为：interface Ethernet3description LAN Failover Interfacesecondary的配置（备用）：asa1(configif)# failover lan enable //启用基于LAN的Failover(适用于PIX) asa1(config)# failover lan unit secondary //指定设备的角色asa1(config)# failover lan interface FO e2 //指定Failover 接口INFO: Nonfailover interface config is cleared on Ethernet2 and its subint erfacesasa1(config)# failover interface ip FO 192.168.1.1 255.255.255.0 standby 192.168.1.2 //配置FO IP地址（用于数据同步）；asa1(config) # failover link STA e3//指定state接口的为e3，并命名为STA asa1(config) # failover interface ip STA 192.168.2.1 255.255.255.0 standby 192.168.2.2//指定名字为STA的接口IP（用于状态同步）；asa1(config)# failover lan key ccxx //配置Failover key （用于对通讯加密，可配置也可不配）asa1(config)# failover //启用Failover；注意，此命令一定要先在Active上输入，否则会引起配置拷错；查看failover命令如下：show run | include faiover注：配置成功后将看到六条命令行。

ASA failover (防火墙的故障倒换) 实验拓扑图：实验目的：以前我们在讲网关备份是讲了一个vrrp，今天这个实验跟那个原理差不多，今天这个就是对防火墙进行备份。

就以上面的拓扑图来说。

防火墙在公司网络的边界上，用来保护公司的网络安全，但是如果有一天防火墙出现什么故障的话，那么该网络就会受到一系列不安全的攻击。

所以我们想想对防火墙也做一个备份的话，对网络的安全实现一个冗余的功能那是不是更好呢？在主防火墙和备份防火墙之间，通常有两根线是相连着的，其中一根是用来监测对防火墙的状态的，叫作failover线，这是一种专业用在防火墙上实现failover的线（不需要配置），可以用以太网线代替，不过需要配置。

另外一种线叫作stateful线，用在防火墙发生故障的那一时间时，将流量的状态发送给备份防火墙，让备份防火墙继续为该流量服务。

在正常的情况下，内部网络的流量全部都是走主防火墙，不会走备份的那个防火墙，并且主防火墙与备份防火墙之间会实现一个实时的策略和状态的更新同步，避免发生故障时，对流量的丢弃。

当故障发生时，备份防火墙会立即切换为主防火墙，继续为网络服务。

首先配置分布层和外网的网络SW1# 在多层交换机上创建几个vlan，并且为vlan配置IP地址以及将接口加入到vlan中。

开启多层交换机的路由功能。

两个交换机的配置差不多一样SW1#vlan daSW1(vlan)#vlan 2VLAN 2 added:Name: VLAN0002SW1(vlan)#vlan 3VLAN 3 added:Name: VLAN0003SW1(vlan)#vlan 100VLAN 100 added:Name: VLAN0100SW1(vlan)#SW1(vlan)#exitAPPLY completed.Exiting....SW1#SW1(config)#inter f1/13SW1(config-if)#sw mo acSW1(config-if)#sw ac vlan 2SW1(config-if)#inter f1/10SW1(config-if)#sw mo acSW1(config-if)#sw ac vlan 100SW1(config-if)#inter range f1/11 - 12SW1(config-if-range)#sw mo trSW1(config-if-range)#sw tr en doSW1(config-if-range)#exitSW1(config)#SW1(config)#inter vlan 2SW1(config-if)#ip add 192.168.2.254 255.255.255.0 SW1(config-if)#no shSW1(config-if)#inter vlan 3SW1(config-if)#ip add 192.168.3.254 255.255.255.0 SW1(config-if)#no shSW1(config-if)#inter vlan 100SW1(config-if)#ip add 192.168.100.254 255.255.255.0 SW1(config-if)#no shSW1(config-if)#exitSW1(config)# ip routing配置外网：ISP(config)#inter f0/0ISP(config-if)#ip add 202.100.1.1 255.255.255.0ISP(config-if)#no shISP(config-if)#exitISP(config)#line vty 0 4ISP(config-line)#no loginISP(config-line)#exitISP(config)#ip route 0.0.0.0 0.0.0.0 202.100.1.2 写一条默认路由通向内网ISP(config)#PC配置：pc1(config)#inter f0/0pc1(config-if)#ip add 192.168.2.1 255.255.255.0pc1(config-if)#no shpc1(config-if)#exitpc1(config)#no ip routingpc1(config)#ip default-gateway 192.168.2.254 将自己所在的vlan的IP地址作为自己的网关pc1(config)#pc1(config)#exit=================pc2(config)#inter f0/0pc2(config-if)#ip add 192.168.3.1 255.255.255.0pc2(config-if)#no shpc2(config-if)#exitpc2(config)#no ip routingpc2(config)#ip default-gateway 192.168.3.254pc2(config)#======================================================测试一下，分布层网络互通。

思科防火墙Failover故障倒换实验实验要求：1、根据拓扑为防火墙/内网主机/互联网设备配置IP地址2、配置PIX1（防火墙）配置访问Internet基本配置3、配置PIX2上配置状态化Failover-STANDBY4、配置PIX1上状态化Failover-ACTIVE实验步骤1、根据拓扑为防火墙/内网主机/互联网设备配置 IP 地址；R1：ip route 0.0.0.0 0.0.0.0 192.168.1.2542、配置 PIX1 配置访问 INTERNET 基本配置；PX1:interface e1no shutdownnameif outsidesecurity-level 0ip address 100.1.1.254 255.255.255.0interface e0no shutdownnameif insidesecurity-level 100ip address 192.168.1.254 255.255.255.0route outside 0.0.0.0 0.0.0.0 100.1.1.1access-list NAT permit ip 192.168.1.0 255.255.255.0 any nat (inside) 1 access-list NATglobal (outside) 1 interfacefixup protocol icmp3、配置 PIX2 上配置状态化 Failover-STANDBY；interface e2no shutdowninterface e3no shutdownfailoverfailover lan enablefailover key ciscofailover lan unit secondaryfailover lan interface Failover e2failover interface ip Failover 10.1.12.1 255.255.255.0 standby 10.1.12.2failover link sta-failover e3failover interface ip sta-failover 10.2.12.1 255.255.255.0 standby 10.2.12.24、配置 PIX1 上状态化 Failover-ACTIVE。

部署CiscoASA防火墙解决方案FIREWALLv1.0考试部署Cisco ASA防火墙解决方案FIREWALL v1.0考试部署Cisco ASA防火墙解决方案 (FIREWALL v1.0)考试是与CCSP、CCNP安全和Cisco ASA 专业技术员认证相关的考试。

该考试主要检验考生在实施和维护基于Cisco ASA的边界解决方案方面所需的知识和技能。

成功通过考试的.考生将能够降低使用Cisco ASA特性的IT基础设施和应用的风险，并为Cisco ASA提供详细的运营支持。

考生可以通过学习“部署Cisco ASA防火墙v1.0”课程来准备该考试。

Exam DescriptionThe 642-618 Deploying Cisco ASA Firewall Solutions (FIREWALL v2.0) exam is associated with the CCNP Security and Cisco Firewall Specialist certifications. This exam tests a candidate's knowledge and skills needed to implement and maintain Cisco ASA-based perimeter solutions. Successful graduates will be able to reduce risk to the IT infrastructure and applications using Cisco ASA features, and provide detailed operations support for the Cisco ASA. Candidates can prepare for this exam by taking the Deploying Cisco ASA Firewall Solutions course.Exam TopicsThe following information provides general guidelines for the content likely to be included on the exam. However, other related topics may also appear on any specific delivery of the exam. In order to better reflect the contents of the exam and for clarity purposes the guidelines below may change at any time without notice.Cisco ASA adaptive security appliance Basic ConfigurationsIdentify the ASA product familyImplement ASA licensingManage the ASA boot processImplement ASA interface settingsImplement ASA management featuresImplement ASA access control featuresImplement Network Address Translation (NAT) on the ASA Implement ASDM public server featureImplement ASA quality of service (QoS) settingsImplement ASA transparent firewallASA Routing FeaturesImplement ASA static routingImplement ASA dynamic routingASA Inspection PolicyImplement ASA inspections featuresASA Advanced Network ProtectionsImplement ASA Botnet traffic filterASA High AvailabilityImplement ASA Interface redundancy and load sharing featuresImplement ASA virtualization featureImplement ASA stateful failover【部署Cisco ASA防火墙解决方案FIREWALL v1.0考试】。

配置PIX Failover简介：本文描述了Pix Failover特性的配置。

Failover的系统需求要配置pix failover需要两台PIX满足如下要求：∙型号一致(PIX 515E不能和PIX 515进行failover)∙软件版本相同∙激活码类型一致(都是DES或3DES)∙闪存大小一致∙内存大小一致Failover中的两个设备中，至少需要一个是UR的版本，另一个可以是FO或者UR 版本。

R版本不能用于Failover，两台都是FO版版也不能用于同一个Failover环境。

注意 Pix501、Pix506/506E均不支持Failover特性。

理解FailoverFailover可以在主设备发生故障时保护网络，在配置了Stateful Failover的情况下，在从主Pix迁移到备PIX时可以不中断TCP连接。

Failover发生时，两个设备都将改变状态，当前活动的PIX将自己的IP和MAC地址都改为已失效的PIX的相应的IP和MAC地址，并开始工作。

而新的备用PIX则将自己的IP和MAC设置为原备份地址。

对于其它网络设备来说，由于IP和MAC都没改变，在网络中的任何地方都不需要改变arp 表，也不需要等待ARP超时。

一旦正确配置了主Pix，并将电缆连接正确，主Pix将自动把配置发送到备份的PIX 上面。

Failover可以在所有的以太网接口上工作良好，但Stateful Failover所使用的接口只能是百兆或千兆口。

在未配置Failover或处于Failover活动状态时，pix515/515E/525/535前面板上的ACT指示灯亮，处于备用状态时，该灯灭。

将两台PIX连在一起做Fairover有两种方式：使用一条专用的高速Failover电缆做基于电缆的Failover，或者使用连接到单独的交换机/VLAN间的单独的接口的基于网络的的Failover。

如果做stateful Failover或做基于网络的Failover时，推荐使用100兆全双工或千兆连接。