思科ASA防火墙上配置透明模式的Failover Active/Acitve
325
|
0
|
Cisco思科

2438 字
|
11 分钟
Failover Active/Acitive是ASA学习中不可绕过的环节,网络上现有的大量案例都是在路由模式下完成的,鲜有透明模式下的Failover Active/Acitve,所以在GNS3仿真器上,借助于asa8.02多模防火墙qemu镜像,完成了下面的实验。

一、拓扑

图-1 GNS3上的逻辑拓扑

其中上面交换机sw1和sw2中的接口及vlan关系如表-1所示,设备接口和IP地址如表-2所示,

表-1 vlan和接口关系

表-2 设备及IP地址配置

由于Failover配置中要用到虚拟防火墙的概念,所以必须在fw1和fw2上创建虚拟防火墙vfw1和vfw2,划分至各虚拟防火墙中的物理接口如表-3所示:

表-3 虚拟防火墙vfw1和vfw2的接口划分

由于透明模式的防火墙,必须在建立桥接关系的接口之间配置全局管理地址,防火墙才能正常工作,现划分全局管理地址如表-4所示:

表-4 虚拟防火墙及管理地址划分

由于Failover Active/Active运行时,各虚拟防火墙要通过Lan-Base和Stateful连线进行状态监控和状态化列表传递,故必须配置Lan-Base地址和Stateful地址,现划分如表-5所示:

表-5 Lan-Base和Stateful接口划分

 

二、配置过程

Failover配置时,划分为两个部分,即fw1配置和fw2配置,其中fw2配置很少,主要在fw1上配置。

1.物理防火墙fw1配置:

⑴开启物理接口:

此步特别重要,一定要将所有的物理接口开启,这里就不展示具体开启过程。

⑵配置FO和Stateful链路,用于Failover组互相监控

fw1(config)#failover lan unit primary    //注意此外为primaryfw1(config)#failover lan interface FO Ethernet0/4fw1(config)#failover link Stateful Ethernet0/5fw1(config)#failover interface ip FO 10.10.30.1 255.255.255.0 standby 10.10.30.2fw1(config)#failover interface ip Stateful 10.10.40.1 255.255.255.0 standby 10.10.40.2

⑶调整failover组监控时间

此步可做可不做,但建议做一下,便于后面测试看的效果更清fw1(config)#failover polltime unit msec 200 holdtime msec 800

⑷配置failover组

Failover组中的primary是一个物理概念,不会因为网络的运行而发生变化。fw1(config)#failover group 1fw1(config-fover-group)#primaryfw1(config-fover-group)#preemptfw1(config)#failover group 2fw1(config-fover-group)#secondaryfw1(config-fover-group)#preempt

⑸配置管理虚拟墙admin

Admin防火墙用于对物理墙(包括所有虚拟墙)进行管理,必须提前配置,否则后面的虚拟墙无法配置。
fw1(config)#context adminfw1(config-ctx)#config-url flash:/admin.cfg

⑹定义虚拟防火墙

定义虚拟防火墙时,包括分配接口、加入failover组等操作,必须在配置虚拟墙之间完成。
fw1(config)#context vfw1fw1(config-ctx)#allocate-interface e0/0fw1(config-ctx)#allocate-interface e0/1fw1(config-ctx)#join-failover-group 1fw1(config-ctx)#config-url flash:/vfw1.cfgfw2(config)#context vfw1fw2(config-ctx)#allocate-interface e0/2fw2(config-ctx)#allocate-interface e0/3fw2(config-ctx)#join-failover-group 2fw2(config-ctx)#config-url flash:/vfw2.cfg

⑺配置虚拟防火墙

前面一步完成了对虚拟墙的定义,但并未配置虚拟墙的功能,这里完成配置。

①配置虚拟防火墙vfw1

fw1(config)#changeto context vfw1vfw1(config-if)#interface e0/0vfw1(config-if)#nameif outsidevfw1(config-if)#security-level 0vfw1(config-if)#mac-address 1.a.1 standby 1.a.2   #可以不配,但建议配上,可避免意外问题。vfw1(config-if)#interface e0/1vfw1(config-if)#nameif insidevfw1(config-if)#security-level 100vfw1(config-if)#mac-address 1.b.1 standby 1.b.2   #可以不配,但建议配上,可避免意外问题。vfw1(config)#ip address 10.10.10.100 255.255.255.0 standby 10.10.10.110vfw1(config-if)#access-list OUT permit icmp any any echo-replyvfw1(config-if)#access-list OUT permit icmp any any time-exceededvfw1(config-if)#access-list OUT permit icmp any any unreachablevfw1(config-if)#access-group OUT in interface outsidevfw1(config-if)#policy-map global_policyvfw1(config-pmap)#class inspection_defaultvfw1(config-pmap-c)#inspect icmp

②配置虚拟防火墙vfw2

fw1(config)#changeto context vfw2vfw2(config-if)#interface e0/2vfw2(config-if)#nameif outsidevfw2(config-if)#security-level 0vfw2(config-if)#mac-address 2.a.1 standby 2.a.2   #可以不配,但建议配上,可避免意外问题。vfw2(config-if)#interface e0/3vfw2(config-if)#nameif insidevfw2(config-if)#security-level 100vfw2(config-if)#mac-address 1.b.1 standby 1.b.2   #可以不配,但建议配上,可避免意外问题。Vfw2(config)#ip address 10.10.20.100 255.255.255.0 standby 10.10.20.110vfw2(config-if)#access-list OUT permit icmp any any echo-replyvfw2(config-if)#access-list OUT permit icmp any any time-exceededvfw2(config-if)#access-list OUT permit icmp any any unreachablevfw2(config-if)#access-group OUT in interface outsidevfw2(config-if)#policy-map global_policyvfw2(config-pmap)#class inspection_defaultvfw2(config-pmap-c)#inspect icmp
此时物理防火墙fw1配置完成,只剩下启动failover,但由于物理防火墙上的配置尚未进行,故暂时不启用。

⒉物理防火墙fw2配置:

⑴开启物理接口

此步物别重要,一定要将所有的物理接口开启,这里就不展示具体开启过程。

⑵配置FO和Stateful链路,用于Failover组互相监控

fw1(config)#failover lan unit secondary     //注意此处为secondaryfw1(config)#failover lan interface FO Ethernet0/4fw1(config)#failover link Stateful Ethernet0/5fw1(config)#failover interface ip FO 10.10.30.1 255.255.255.0 standby 10.10.30.2fw1(config)#failover interface ip Stateful 10.10.40.1 255.255.255.0 standby 10.10.40.2
由于物理防火墙会自动从failover lan 中的主设备自动传递配置,故仅只配上面两步即可,其它的不用去配置,不要画蛇添足。

⒊开启failover功能

⑴物理防火墙fw1上开启failover

fw1(config)#failover

⑵物理防火墙fw2上开启failover

fw2(config)#failover

4.修改提示符

由于failover active/active配置后,两台物理防火墙会自动同步配置,会导致物理防火墙fw2上的提示符和物理防火墙fw1是一模一样的,不便于查看,故必须在fw1上修改提示符。
fw1(config)#prompt hostname priority statefw1/pri/stby(config)#
其中上面的hostname代表物理防火墙的名称,priority代表物理墙在failover组中是primary设备还是secondary设备,而state代表墙是active状态,还是standby状态,从上面的提示符中可看到此时,物理防火墙fw1此时primary设备,并处于stby状态。

三、查看和测试:

⒈初次启动后调整状态

当在两台物理防火墙fw1和fw2上启动failover后,利用命令show failover看到的状态是不正常的,笔者曾在gns3上完成多次实现,都发现这个现象,还以为是没有配置成功,其实是初次启动后存在的问题,必须进行调整。

图-2 fw1上显示的failover组状态

在初次启动failover后,常常发现从物理防火墙fw1上看到的failover组状态,出现两个active,而正常时,常如图-2所示的一个active和一个standby状态,许多初学者会以为自己配置不正确引发的,处理方法是在物理防火墙fw1和fw2上保存配置,然后关闭并重启fw1和fw2,等再次启动后,常会正常,如果还不正常,则采用关闭监控链路的方法调整。

⒉正常状态下测试:

当fw1和fw2上的failover active/active配置成功后,无论是在fw1还是fw2上查看到的正常信息如图-3、图-4所示:

图-3 fw1上看到的正常的failover信息

图-4 fw2上看到的正常的failover信息

分别从PC10、PC20上通过无状态方式和有状态方式访问r1上的1.1.1.1/24,可看到正常的信息如图-5、图-6所示:

图-5 fw1上通过无状态和有状态方式访问r1

图-6 fw2上通过无状态和有状态方式访问r1

正常时PC10通过fw1上的vfw1访问r1,而PC20通过fw2上的vfw2访问r1。

⒊模拟上行链路故障的切换

在实际中,有可能sw1(e0/0)和vfw1(e0/0)之间的链路发生故障,而failover active/active会发生切换,并且PC10上的有状态连接不会中断,现人为关闭sw1上的接口e0/0,模拟链路故障的现象,特别注意,一定不能从fw1的e0/0上进行关闭。

图-7 人为关掉sw1上的e0/0

稍等一会,则fw1上的vfw1会发生切换,即fw1上的状态全为standby/standby,而fw2上的状态为active/active,

图-8 fw1上的failover状态

图-9 fw2上的failover状态

接着查看PC10上的状态化连接和无状态化连接的情况

图-10 PC10上出现的切换影响

可以看到PC10上的状态连接,根本不会出现断开的现象,而无状态连接,出现丢包5个,又自动连接,说明切换非常好,对客户来说,根本不会因为切换,导致状态化连接的断开,满足会话要求。

4.模拟上行链路故障排除的切换

可以开启sw1的e0/0接口,模拟vfw1和sw1之间的链路故障排除的现象,

图-11 sw1上排除故障,开启接口

接着查看fw1和fw2上的failover状态,

图-12 fw1上查看到的failover状态信息

图-13 fw2上看到的failover状态信息

可以看到,fw1处于active/standby状态,而fw2处于standby/active状态,即处于负载均衡的状态。

5.模拟下行链路故障的切换

在fw2上将sw2和vfw2之间的链路断开,即关闭fw2上的e1/3接口,查看failover的切换,

图-14 人为关闭sw2上的e1/3接口

查看fw1和fw2上的failover状态信息,

图-15 fw1上的failover信息

图-16 fw2上的failover信息

可以看到fw1处于active/active状态,而fw2处于standby/failed状态,即完成了自动切换。
接着查看PC20上的状态化连接和无状态化连接,

图-17 PC20上的状态化连接和无状态化连接

可以看到PC20上的状态化会话一直处于连接状态,满足了需要。

6.模拟下行链路故障恢复

打开sw2的e1/3接口,模拟故障排除,链路恢复,

图-18 sw2上打开e1/3接口

查看fw1和fw2上的failover状态信息,

图-19 fw1上的failover信息

图-20 fw2上的failover信息

可以看到此时fw1处于active/standby状态,而fw2处于standby/active状态,即failover状态切换正常。
最后强调一点,为什么采用asa8.02的qemu镜像来做该实验,由于asa8.02的镜像占用内存很小,仅需256mb,6个物理接口可以同时使用,启动快的优点,在物理机内存不是很充足的情况下,用来完成实验,是比较好的选择。
暂无评论

发送评论 编辑评论 


				

			

						

				

					

						

							

								
							

							
						

					

				

				

					

						

							

								
							

							
						

					

				

				

					

						

							

								
							

							
							
													

					

				

			

			
			

				

					
				

			

				

											

							
							
						

																				
					
											
						

	

		
|´・ω・)ノ
ヾ(≧∇≦*)ゝ
(☆ω☆)
(╯‵□′)╯︵┴─┴
 ̄﹃ ̄
(/ω\)
∠( ᐛ 」∠)_
(๑•̀ㅁ•́ฅ)
→_→
୧(๑•̀⌄•́๑)૭
٩(ˊᗜˋ*)و
(ノ°ο°)ノ
(´இ皿இ`)
⌇●﹏●⌇
(ฅ´ω`ฅ)
(╯°A°)╯︵○○○
φ( ̄∇ ̄o)
ヾ(´・ ・`。)ノ"
( ง ᵒ̌皿ᵒ̌)ง⁼³₌₃
(ó﹏ò。)
Σ(っ °Д °;)っ
( ,,´・ω・)ノ"(´っω・`。)
╮(╯▽╰)╭
o(*////▽////*)q
>﹏<
( ๑´•ω•) "(ㆆᴗㆆ)
😂
😀
😅
😊
🙂
🙃
😌
😍
😘
😜
😝
😏
😒
🙄
😳
😡
😔
😫
😱
😭
💩
👻
🙌
🖕
👍
👫
👬
👭
🌚
🌝
🙈
💊
😶
🙏
🍦
🍉
😣
Source: github.com/k4yt3x/flowerhd
	

	

		
颜文字
Emoji
小恐龙
花!
	


									

			

			
			
		

	






上一篇
下一篇 

                    

                    
			        推荐文章
		            

		            

							
思科C9120的开局脚本

							
							

							
思科C9200的堆叠脚本

							
							

							
思科C9800控制器堆叠脚本

							
							

							
思科C9800控制器开局脚本

							
							

							
思科C9500系列交换机虚拟化堆叠

							
							

							
思科C9500开局脚本

							
							

							
思科ISR 3800路由器的开局脚本

							
							

							
思科ASA防火墙SSL VPN配置

							
							

							
思科9500交换机ospf配置

							
							

							
思科ASR9006路由器BGP配置,AS路径添加了三次

							
							

							
思科Nexus交换机虚拟化配置

							
							

							
思科9500交换机虚拟化配置

							
							

							
思科3850交换机虚拟化配置

							
							

							
思科Nexus交换机堆叠配置

							
							

							
思科9500核心交换机堆叠配置