2019-01-19

防火墻高可靠性技術-Cisco Failover Active-Active(A/A)

Part 1-前言

通過上篇文章《ASA上部署Failover實例演示》中的介紹,想必大家對Cisco Failover技術已經(jīng)有一定了解,并且可以完成Failover A/S模式的部署了,但是大家有沒有想過一個問題,F(xiàn)ailover A/S 模式中,我們兩臺ASA設備,一臺Active,轉發(fā)流量,一臺Standby,做備份。這樣部署,Standby設備如果在未發(fā)生故障切換的情況下就處于閑置狀態(tài)。

那么,有沒有一種部署方式,能讓Standby設備也利用起來,轉發(fā)流量?答案是“肯定有”,本文將為大家介紹Failover A/A技術是如何實現(xiàn)高可靠性,并且達到設備充分利用

Part 2 -Failover A/A介紹

一. 什么是Failover A/A

  1. Failover A/A只能應用在多模式(multiple context)防火墻中。在一個Failover A/A 配置中,兩個ASA能夠同時工作且傳輸網(wǎng)絡流量。

  2. 在Failover A/A配置中可以把context劃分到failover group,一個failover group中包含一個或多個context,最多可以創(chuàng)建兩個failover group,默認的admin context永遠屬于Group 1,沒有分配的context默認也屬于failover group1

  3. 一個物理ASA只會在一個failover group中成為Active
    [圖片上傳失敗...(image-a128b1-1547886743103)]

注:如圖1所示,F(xiàn)ailover Group 1中子防火墻Context A和 Context C為Active,Context B為Standby,F(xiàn)ailover Group 2中子防火墻Context A和 Context C為Standby,Context B為Active。

二. License要求

ASA必須開啟Multiple模式

設備型號 License要求
ASA 5505 不支持
ASA 5510 Security Plus License
其他 Base License
三. Failover A/A中Active context(子防火墻)角色選舉
  • 當兩臺設備都為健康狀態(tài)
    • 當從FO接口檢測到一個正在協(xié)商的設備,本地Failover Group配置的Primary設備將成為Active;
    • 當從FO接口檢測到一個設備在兩個Failover Group中都是Active,此設備在兩個Failover Group中都將變?yōu)镾tandby
    • 當從FO接口未檢測到設備,此設備在兩個Failover Group中都為Active
  • 當只有一臺設備為健康狀態(tài)
    • 健康的設備在兩個Failover Group中均為Active
四. Failover A/A故障切換
  1. Failover 發(fā)生在設備或context層面上
  2. 當一個物理設備中的Active成員出現(xiàn)故障,另外一臺物理設備中相同F(xiàn)ailover Group的Standby成員將成為Active。
  3. 切換過程中Primary/Secondary身份不變
  4. 切換后,IP和MAC在組成員之間交換。(同A/S模式,可參考“ASA上部署Failover實例演示”篇)
    [圖片上傳失敗...(image-8617ca-1547886743103)]

注:當Failover Group 1中子防火墻Context A和Context C故障,這時候會在Failover Group 2中把Context A和 Context C切換成Active。

五. Failover A/A鏈路類型
  1. LAN-Based Failover link:檢測每個單元的運行狀態(tài)并同步配置信息,使用獨立接口充當。
  2. Stateful Failover Link:同步狀態(tài)化信息到Standby設備,可與其他接口共享,Cisco推薦使用單獨接口
    [圖片上傳失敗...(image-3854e0-1547886743103)]

Part 3 - 實驗

一. 實驗拓撲

[圖片上傳失敗...(image-9ee342-1547886743103)]

二. 實驗需求

在ASA1與ASA2間部署狀態(tài)化的Failover Active-Active模式,讓PC1和PC2可以telnet 到R1上,當ASA1或ASA2中任何一方出現(xiàn)故障,流量自動切換到另一方

三. 設備及IP地址說明
  • R1為outside網(wǎng)絡,PC1和PC2為inside網(wǎng)絡,ASA1和ASA2各自虛擬出2個子防火墻,C1和C2.
  • ASA1和ASA2中各自創(chuàng)建Failover Group 1和Failover Group 2,Context C1加入到Failover
    Group 1, Context C2加入Failover Group 2
Failover Group ASA1 ASA2 Context
1 Active Standby C1
2 Standby Active C2

配置去往inside方向的路由

ip route 192.168.1.0 255.255.255.0 200.100.1.10
ip route 192.168.2.0 255.255.255.0 200.100.2.10
最后編輯于
?著作權歸作者所有,轉載或內(nèi)容合作請聯(lián)系作者
【社區(qū)內(nèi)容提示】社區(qū)部分內(nèi)容疑似由AI輔助生成,瀏覽時請結合常識與多方信息審慎甄別。
平臺聲明:文章內(nèi)容(如有圖片或視頻亦包括在內(nèi))由作者上傳并發(fā)布,文章內(nèi)容僅代表作者本人觀點,簡書系信息發(fā)布平臺,僅提供信息存儲服務。

相關閱讀更多精彩內(nèi)容

友情鏈接更多精彩內(nèi)容