Cisco ASA failover
Материал из Xgu.ru
- Автор: Наташа Самойленко
Содержание |
[править] Принципы работы
Когда две ASA настроены для работы в режиме Active/Active failover, нельзя включить IPsec VPN или SSL VPN. Так же не доступна динамическая маршрутизация. VPN failover доступен только для режима работы Active/Standby.
[править] Режимы работы
1. Stateful failover - с сохранением текущего состояния: обе ASA обмениваются информацией о состоянии сеансов по выделенному линку (Statefull Failover Link), и если какая-либо из ASA выйдет из строя, то другая подхватит существующие сеансы и продолжит работу.
2. Stateless failover - когда при отказе основной все сеансы связи сбрасываются; активируется резервная ASA, соединения для всех сеансов устанавливаются заново (использует Failover Link).
[править] Failover link
Любой Ethernet-интерфейс может использоваться в качестве failover-интерфейса, однако нельзя указывать интерфейс, на котором уже задано имя интерфейса.
Failover-интерфейс не настраивается как обычный интерфейс для передачи данных, он существует только для коммуникаций связанных с failover (он может использоваться в качестве stateful failover link).
[править] Stateful failover link
Для того чтобы использовать возможности Stateful Failover, надо настроить stateful failover link для передачи информации о состоянии соединений.
Возможны такие варианты выбора stateful failover link:
- Выделенный интерфейс
- Общий интерфейс с failover link
- Общий интерфейс с обычным интерфейсом для передачи данных. Однако, эту опцию не рекомендуется использовать. Кроме того, она поддерживается только в single context, routed mode.
[править] Синхронизация команд
Команды, которые синхронизируются на standby unit:
- все команды конфигурационного режима, кроме команд mode, firewall и failover lan unit
- copy running-config startup-config
- delete
- mkdir
- rename
- rmdir
- write memory
Команды, которые не синхронизируются на standby unit:
- Все формы команды copy, кроме copy running-config startup-config
- Все формы команды write, кроме write memory
- crypto ca server и соответствующие подкоманды
- debug
- failover lan unit
- firewall
- mode
- show
[править] ASA Active/Standby failover
[править] ASA Modules Failover
- Модули должны быть настроены отдельно на обоих ASA. При настройке failover, конфигурация модулей не передается.
- AIP-SSM Things like signature config, virtual sensor setup, filters, and overrides should all be similar, if not exactly the same. This helps to ensure that their behavior is the same.
ASA должны быть с одинаковыми моделями модулей.
[править] Настройка Primary ASA
[править] Настройка standby-адресов
Если ASA работает в режиме routed, то надо настроить standby-адреса на интерфейсах ASA (active-адрес и standby-адрес должны быть из одной сети):
ASA1(config)# interface g0/0 ASA1(config-if)# ip address 11.0.1.1 255.255.255.0 standby 11.0.1.3 ASA1(config)# interface g0/2 ASA1(config-if)# ip address 192.168.1.1 255.255.255.0 standby 192.168.1.3
Если ASA работает в режиме transparent, то надо настроить standby-адрес для управляющего интерфейса (active-адрес и standby-адрес должны быть из одной сети):
ASA1(config)# ip address 192.168.25.1 255.255.255.0 standby 192.168.25.2
[править] Настройка роли primary
Указать, что эта ASA выполняет роль primary unit:
ASA1(config)# failover lan unit primary
[править] Настройка failover-интерфейса
Указать какой интерфейс будет использоваться для failover:
ASA1(config)# failover lan interface <if-name> <type-number>
Например, интерфейс g 0/2 будет выполнять роль failover-интерфейса и будет называться failover:
ASA1(config)# failover lan interface failover g0/2
Назначить active и standby IP-адреса на failover-интерфейс:
ASA1(config)# failover interface ip failover 192.168.1.1 255.255.255.0 standby 192.168.1.2
Включить интерфейс, который будет выполнять роль failover-интерфейса:
ASA1(config)# interface g0/2 ASA1(config-if)# no shut
[править] Настройка stateful failover-интерфейса
Если необходимо использовать stateful failover, то, кроме предыдущих настроек, необходимо настроить stateful failover-интерфейс.
Указать какой интерфейс будет использоваться в качестве stateful failover-интерфейса:
ASA1(config)# failover link <if-name> <type-number>
Если, например, в качестве stateful failover-интерфейса будет использоваться failover-интерфейс, то достаточно указать имя интерфейса:
ASA1(config)# failover link failover
[править] Включение failover
Включить failover:
ASA1(config)# failover
Сохранить конфигурацию:
ASA1(config)# wr mem
ASA1(config)# failover key 123456 ASA1(config)# failover lan unit primary
ASA1(config)# sh failover
[править] Настройка Secondary ASA
Удалить существующую конфигурацию
ASA2# write erase ASA2# reload
[править] Настройка failover-интерфейса
Указать какой интерфейс будет использоваться для failover:
ASA2(config)# failover lan interface <if-name> <type-number>
Например, интерфейс g 0/2 будет выполнять роль failover-интерфейса и будет называться failover:
ASA2(config)# failover lan interface failover g0/2
Назначить active и standby IP-адреса на failover-интерфейс (команда должна в точности повторять команду введенную на primary ASA):
ASA2(config)# failover interface ip failover 192.168.1.1 255.255.255.0 standby 192.168.1.2
Включить интерфейс, который будет выполнять роль failover-интерфейса:
ASA2(config)# interface g0/2 ASA2(config-if)# no shut
[править] Настройка роли secondary
Указать, что эта ASA выполняет роль secondary unit:
ASA2(config)# failover lan unit secondary
[править] Включение failover
Включить failover:
ASA2(config)# failover
Сохранить конфигурацию:
ASA2(config)# wr mem
ASA2(config)# failover key 123456 ASA2(config)# failover lan unit secondary
ASA2(config)# sh failover
[править] Проверка failover
Зайти telnet, ssh или подобное
Перегрузить primary ASA
ASA1(config)# sh failover
Возвращаем primary в состояние active:
ASA1(config)# failover active
Statefull failover:
ASA1(config)# failover link MYFAIL ASA1(config)# failover polltime unit msec 500
Проверить
[править] ASA Active/Active failover
[править] Настройка Primary ASA
Перевести в режим нескольких контекстов:
ASA1(config)# mode multiple
Настройка failover интерфейса:
ASA1(config)# interface g0/1 ASA1(config-if)# no shut ASA1(config)# failover lan interface ip MYFAIL g0/1 ASA1(config)# failover interface ip MYFAIL 192.168.3.1 255.255.255.0 standby 192.168.3.3
Настройка statefull, key, group:
ASA1(config)# failover link MYFAIL g0/1 ASA1(config)# failover key 123456 ASA1(config)# failover lan unit primary ASA1(config)# failover group 1 ASA1(config)# failover group 2
Проверить настройки:
ASA1(config)# show failover
[править] Настройка context
Указание административного контекста:
ASA1(config)# admin-context adm
При настройке контекста обязательно необходимо указать:
- Какие интерфейсы принадлежат контексту
- Где хранится конфигурационный файл контекста
Настройка контекста adm:
ASA1(config)# context adm ASA1(config-ctx)# allocate-interface g0/0 ASA1(config-ctx)# allocate-interface g0/2 ASA1(config-ctx)# config-url disk0:/admin.cfg ASA1(config-ctx)# join-failover-group 1 ASA1(config-ctx)# exit
Настройка CTX1 context
ASA1(config)# context CTX1 ASA1(config-ctx)# allocate-interface m0/0 ASA1(config-ctx)# allocate-interface g0/3 ASA1(config-ctx)# config-url disk0:/CTX1.cfg ASA1(config-ctx)# join-failover-group 2 ASA1(config-ctx)# ASA1(config)# interface g0/3 ASA1(config-if)# no shut ASA1(config)# interface m0/0 ASA1(config-if)# no shut ASA1(config-ctx)# exit
Просмотреть информацию о созданных контекстах:
ASA1(config)# show context ASA1(config)# sh context detail
Посмотреть файлы записанные конфигурации:
ASA1(config)# sh disk0
Перейти в system:
ASA1(config)# changeto system
Перейти в контекст CTX1:
ASA1(config)# changeto context CTX1
Настройка интерфейсов в контексте CTX1:
[править] Настройка Secondary ASA
[править] Конфигурационные файлы
Схема:
[править] Конфигурация ASA1
Конфигурация system:
: Saved : Written by enable_15 at 07:01:02.332 UTC Sat Mar 29 2008 ! ASA Version 7.2(2) <system> ! hostname ASALeftTop enable password 8Ry2YjIyt7RRXU24 encrypted no mac-address auto ! interface GigabitEthernet0/0 description LAN/STATE Failover Interface ! interface GigabitEthernet0/1 ! interface GigabitEthernet0/2 ! interface GigabitEthernet0/3 ! interface Management0/0 ! class default limit-resource All 0 limit-resource ASDM 5 limit-resource SSH 5 limit-resource Telnet 5 ! ftp mode passive pager lines 24 failover failover lan unit primary failover lan interface mgmt GigabitEthernet0/0 failover link mgmt GigabitEthernet0/0 failover interface ip mgmt 192.168.7.1 255.255.255.0 standby 192.168.7.2 failover group 1 failover group 2 secondary asdm image disk0:/asdm-522.bin no asdm history enable arp timeout 14400 console timeout 0 admin-context adm context adm allocate-interface GigabitEthernet0/1 allocate-interface GigabitEthernet0/3 config-url disk0:/admen.cfg join-failover-group 1 ! context ctx allocate-interface GigabitEthernet0/2 allocate-interface Management0/0 config-url disk0:/cont.cfg join-failover-group 2 ! prompt hostname context Cryptochecksum:a4c93b61ca7a03647449b75edd445b28 : end
Конфигурация контекста adm:
: Saved : Written by enable_15 at 07:02:03.622 UTC Sat Mar 29 2008 ! ASA Version 7.2(2) <context> ! hostname adm enable password 8Ry2YjIyt7RRXU24 encrypted names ! interface GigabitEthernet0/1 nameif inside security-level 100 ip address 192.168.10.1 255.255.255.0 standby 192.168.10.2 ! interface GigabitEthernet0/3 nameif outside security-level 0 ip address 10.0.58.11 255.0.0.0 standby 10.0.58.13 ! passwd 2KFQnbNIdI.2KYOU encrypted access-list out extended permit icmp 11.0.1.0 255.255.255.0 11.0.1.0 255.255.255.0 access-list out extended permit ip any any access-list out extended permit icmp any any pager lines 24 mtu inside 1500 mtu outside 1500 icmp unreachable rate-limit 1 burst-size 1 no asdm history enable arp timeout 14400 access-group out in interface outside route inside 192.168.30.0 255.255.255.0 192.168.10.10 1 route inside 192.168.40.0 255.255.255.0 192.168.10.10 1
Конфигурация контекста ctx:
: Saved : Written by enable_15 at 07:04:42.425 UTC Sat Mar 29 2008 ! ASA Version 7.2(2) <context> ! hostname ctx enable password 8Ry2YjIyt7RRXU24 encrypted names ! interface GigabitEthernet0/2 nameif inside security-level 100 ip address 192.168.20.1 255.255.255.0 standby 192.168.20.2 ! interface Management0/0 nameif outside security-level 0 ip address 10.0.58.12 255.0.0.0 standby 10.0.58.14 ! passwd 2KFQnbNIdI.2KYOU encrypted pager lines 24 mtu inside 1500 mtu outside 1500 icmp unreachable rate-limit 1 burst-size 1 no asdm history enable arp timeout 14400 route inside 192.168.30.0 255.255.255.0 192.168.20.10 1 route inside 192.168.40.0 255.255.255.0 192.168.20.10 1
[править] Конфигурация ASA2
[править] Конфигурация sw1
! version 12.2 ! hostname sw1 ! ip routing ! ! vlan 10,20,30,40 ! ! ! interface FastEthernet0/1 switchport access vlan 10 switchport mode dynamic desirable ! interface FastEthernet0/2 switchport access vlan 10 switchport mode dynamic desirable ! interface FastEthernet0/3 switchport access vlan 30 switchport mode dynamic desirable ! ! interface Vlan1 no ip address shutdown ! interface Vlan10 ip address 192.168.10.10 255.255.255.0 ! interface Vlan20 ip address 192.168.20.11 255.255.255.0 ! interface Vlan30 ip address 192.168.30.1 255.255.255.0 ! interface Vlan40 ip address 192.168.40.2 255.255.255.0 ! ip route 0.0.0.0 0.0.0.0 192.168.10.1
[править] Конфигурация sw2
! version 12.2 ! hostname sw2 ! ! ip routing ! ! ! interface GigabitEthernet0/1 switchport access vlan 20 switchport mode access ! interface GigabitEthernet0/2 switchport access vlan 20 switchport mode access ! interface GigabitEthernet0/3 switchport access vlan 40 switchport mode access ! ! interface GigabitEthernet0/24 switchport trunk encapsulation dot1q switchport mode trunk ! ! interface Vlan1 no ip address shutdown ! interface Vlan10 ip address 192.168.10.11 255.255.255.0 ! interface Vlan20 ip address 192.168.20.10 255.255.255.0 ! interface Vlan30 ip address 192.168.30.11 255.255.255.0 ! interface Vlan40 ip address 192.168.40.10 255.255.255.0 ! ip default-gateway 192.168.20.1 ip classless ip route 0.0.0.0 0.0.0.0 192.168.10.1 ! !
[править] Дополнительная информация
- Active/Active Failover Configuration Example
- Deploying IPS Using the Cisco ASA AIP-SSM
- Configuring the Cisco IPS Sensor Using the CLI 6.0
