欢迎来到天天文库
浏览记录
ID:20431546
大小:329.92 KB
页数:12页
时间:2018-10-13
《asa双主failover配置操作》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库。
1、ASAActive/AcitveFO注:以下理论部分摘自百度文库:ASA状态化的FO配置,要在物理设备起用多模式,必须创建子防火墙。在每个物理设备上配置两个Failover组(failovergroup),且最多配置两个。Failover特性是Cisco安全产品高可用性的一个解决方案,目的是为了提供不间断的服务,当主设备down掉的时候,备用设备能够马上接管主设备的工作,进而保持通信的连通性;Failover配置要求两个进行Failover的设备通过专用的failover线缆和可选的StatefulFailover线缆互相连接;
2、活动设备的接口被monitor,用于发现是否要进行Failover切换Failover分为failover和StatefulFailover,即故障切换和带状态的故障切换。不带状态的failover在进行切换的时候,所有活动的连接信息都会丢失,所有Client都需要重新建立连接信息,那么这会导致流量的间断。带状态的failover,主设备将配置信息拷贝给备用设备的同时,也会把自己的连接状态信息拷贝给备用设备,那么当主的设备down的时候,由于备用设备上保存有连接信息,因此Client不需要重新建立连接,那么也就不会导致流量的中断
3、。Failoverlink两个failover设备频繁的在failoverlink上进行通信,进而检测对等体的状态。以下信息是通过failoverlink通信的信息:Øl设备状态(activeorstandby);Øl电源状态(只用于基于线缆的failover;)ØlHellomessages(keep-alives);lNetworklink状态;lMAC地址交换;Øl配置的复制和同步;(Note:所有通过failover和statefulfailover线缆的信息都是以明文传送的,除非你使用failoverkey来对信息进行
4、加密;)Statefullink在statefullink上,拷贝给备用设备的连接状态信息有:ØlNAT转换表;ØlTCP连接状态;ØlUDP连接状态;ØlARP表Øl2层转发表(运行在透明模式的时候)ØlHTTP连接状态信息(如果启用了HTTP复制)ØlISAKMP和IPSecSA表ØlGTPPDP连接数据库以下信息不会拷贝给备用设备:ØlHTTP连接状态信息(除非启用了HTTP复制)Øl用户认证表(uauth)Øl路由表ØlDHCP服务器地址租期Failover包括LAN-BasedFailover和Cable-BasedF
5、ailover;对于PIX设备,只支持基于线缆(Cable-Based)的Failover;FailoverlinkLAN-BasedFailoverlink可以使用未使用的接口来作为failoverlink。不能够使用配置过名字的接口做为failover接口,并且,failover接口的IP地址不能够直接配置到接口上;应使用专门的命令对其进行配置;该接口仅仅用于failover通信;两个failover接口之间必须使用专用的路径,如,使用专用的交换机,该交换机上不连接任何其他设备;或者使用正常交换机的时候,划一个VLAN,并且
6、仅仅将failover接口划分到该VLAN中;Cable-BasedFailoverlink这种failover对两个failover设备的距离有要求,要求距离不能超过6英尺;并且使用的线缆也是failover线缆,该线缆的一端标记“Primary”,另一端标记“Secondary”并且设备的角色是通过线缆指定的,连接在Primary端的设备被指定为主,连接在Secondary端的设备被指定为备;该线缆传送数据的速率为115Kbps;因此同步配置的速度相比LAN-Base的failover会慢;StatefulFailoverL
7、ink如果使用带状态的Failover,那么就需要配置一个用于传送状态信息的线缆,你可以选用以下三种线中的一种作为statefulfailoverlink:l用专用的接口连接StatefulfailoverLink;Øl使用LAN-Basedfailover,你也可以使用failoverlink作为statefulfailoverlink,即failover和statefulfailover使用同一个线缆;——要求该接口是fastestEthernet;Øl你也可以使用数据接口作为StatefulFailover接口,比如ins
8、ideinterface。但是不推荐这样做;每种failover又包含有Active/Active(以后简写为,A/A)和Active/Standby(以后简写为A/S)两类;A/Afailover,两个设备可以同时传送流量。这可以让你实现负载均衡。A/Afai
此文档下载收益归作者所有