Cisco asa failover
[Ред] Принципи роботи
Коли дві ASA налаштовані для роботи в режимі Active / Active failover, не можна включити IPsec VPN або SSL VPN. Так само не доступна динамічна маршрутизація. VPN failover доступний тільки для режиму роботи Active / Standby.
[Ред] Режими роботи
1. Stateful failover - зі збереженням поточного стану: обидві ASA обмінюються інформацією про стан сеансів по виділеному лінку (Statefull Failover Link), і якщо котрась із ASA вийде з ладу, то інша підхопить існуючі сеанси і продовжить роботу.
2. Stateless failover - коли при відмові основної всі сеанси зв'язку скидаються; активується резервна ASA, з'єднання для всіх сеансів встановлюються заново (використовує Failover Link).
[Ред] Failover link
Будь-Ethernet-інтерфейс може використовуватися в якості failover-інтерфейсу, проте не можна вказувати інтерфейс, на якому вже задано ім'я інтерфейсу.
Failover-інтерфейс не налаштовується як звичайний інтерфейс для передачі даних, він існує тільки для комунікацій пов'язаних з failover (він може використовуватися в якості stateful failover link).
[Ред] Stateful failover link
Для того щоб скористатися наявними можливостями Stateful Failover, треба налаштувати stateful failover link для передачі інформації про стан з'єднань.
Можливі такі варіанти вибору stateful failover link:
- виділений інтерфейс
- Загальний інтерфейс з failover link
- Загальний інтерфейс зі звичайним інтерфейсом для передачі даних. Однак, цю опцію не рекомендується використовувати. Крім того, вона підтримується тільки в single context, routed mode.
[Ред] Синхронізація команд
Команди, які синхронізуються на standby unit:
Команди, що не синхронізуються на standby unit:
[Ред] ASA Active / Standby failover
[Ред] ASA Modules Failover
- Модулі повинні бути налаштовані окремо на обох ASA. При налаштуванні failover, конфігурація модулів не передається.
- AIP-SSM Things like signature config, virtual sensor setup, filters, and overrides should all be similar, if not exactly the same. This helps to ensure that their behavior is the same.
ASA повинні бути з однаковими моделями модулів.
[Ред] Налаштування Primary ASA
[Ред] Налаштування ролі primary
Вказати, що ця ASA виконує роль primary unit:
[Ред] Налаштування failover-інтерфейсу
Вказати який інтерфейс буде використовуватися для failover:
Наприклад, інтерфейс g 0/2 виконуватиме роль failover-інтерфейсу і буде називатися failover:
Включити інтерфейс, який буде виконувати роль failover-інтерфейсу:
[Ред] Налаштування stateful failover-інтерфейсу
Якщо необхідно використовувати stateful failover, то, крім попередніх налаштувань, необхідно налаштувати stateful failover-інтерфейс.
Вказати який інтерфейс буде використовуватися в якості stateful failover-інтерфейсу:
Якщо, наприклад, в якості stateful failover-інтерфейсу буде використовуватися failover-інтерфейс, то досить вказати ім'я інтерфейсу:
[Ред] Включення failover
[Ред] Налаштування Secondary ASA
Видалити існуючу конфігурацію
[Ред] Налаштування failover-інтерфейсу
Вказати який інтерфейс буде використовуватися для failover:
Наприклад, інтерфейс g 0/2 виконуватиме роль failover-інтерфейсу і буде називатися failover:
Включити інтерфейс, який буде виконувати роль failover-інтерфейсу:
[Ред] Налаштування ролі secondary
Вказати, що ця ASA виконує роль secondary unit: