思科防火墙(ASA 5525-X )双机热备配置注)此次实验设备型号为ASA 5525-X; 系统版本: ciscoadaptivesecurityappliancesoftwareversion 9.14 (2) 13SSPoperatingsystemversion2.8 ) 1.144 )设备管理器版本3 .负载均衡2、双机热备格式原理:防火墙双机热备功能提供专用备份通道,两台防火墙之间协商备份主备份状态和会话等状态信息; 心跳主要如下。 a .备用:“备用设备”一般只通过“备用设备”处理业务,“备用设备”空闲; 在“主设备”接口、链路、整机故障时,“备用设备”切换到“主设备”,接管“主设备”的处理业务。 b )负载均衡)负载均衡又称“互主备”,即两台设备同时处理业务; 如果一个设备出现故障,另一个设备将立即接管业务,以确保需要通过该设备传输的业务不会中断。 三、主设备配置如下。 确认Ciscoasa(config ) failoverciscoasa (config ) #failover lan unit primary //主设备。 主-辅助Ciscoasa(config ) # failoverlaninterfaceactivegigabitethernet0/1//心跳接口验证、名称和接口不能检查failoverlinkstatelinkgigabitethernet0/3//链路状态接口。 名称和接口错误导致Ciscoasa(config ) # failoverinterfaceipactive1.1.1. 1255.252 stand by1.1.1.1.2///确认心跳地址的Ciscoasa ) ) ) ) ) ) ) failoverinterfaceipstatelink2.2.2. 1255.255.252 stand by2.2.2) no shutdownciscoasa(config )接口千兆以太网0/3 Cisco asa (config-if ) noshutdown设备的配置如下: 思科配置)。 failoverlanunitsecondaryciscoasa (config ) failoverlaninterfaceactivegigabitethernet0/1Cisco asa ) config ) failover link3ciscise failoverinterfaceipactive1.1.1.1.1) 255.255.252 stand by1.1.1.2Cisco asa ) ) config ) ) andby2.2.2CiscoAsA(config )互联网# no shutdownciscoasa (config )互联网0/3 Cisco abitethernet Ciscoasa ) config )的showfailoverfailoveronfailoverunitprimaryfailoverlaninterface : activegigabitethernet0/1 (reconnect time out 0:00336000 unitpollfrequency1seconds,hold time 15 secondsinterfacepollfrequency5seconds, hold time 25 secondsinterfacepolicy1monitored interfaces2of 466 maximummacaddressmovenotificationintervalnotsetversion 3360 ours 9.14 mal :Oursxxxxxxxxxx,matexxxxxxxxxxlastfailoverat :20336014336031 utc mar 272021 thishost 3360 primary-active active time 336020nterface inside (10.1.1.1): No Link (Waiting) Interface management (192.168.1.1): No Link (Waiting) Other host: Secondary - Standby Ready Active time: 19 (sec) slot 0: ASA5525 hw/sw rev (3.1/9.14(2)13) status (Up Sys) Interface inside (0.0.0.0): No Link (Waiting) Interface management (0.0.0.0): No Link (Waiting)Stateful Failover Logical Update Statistics Link : statelink GigabitEthernet0/3 (up) Stateful Obj xmit xerr rcv rerr General 321 0 319 1 sys cmd 319 0 319 1 up time 0 0 0 0 RPC services 0 0 0 0 TCP conn 0 0 0 0 UDP conn 0 0 0 0 ARP tbl 0 0 0 0 Xlate_Timeout 0 0 0 0 IPv6 ND tbl 0 0 0 0 VPN IKEv1 SA 0 0 0 0 VPN IKEv1 P2 0 0 0 0 VPN IKEv2 SA 0 0 0 0 VPN IKEv2 P2 0 0 0 0 VPN CTCP upd 0 0 0 0 VPN SDI upd 0 0 0 0 VPN DHCP upd 0 0 0 0 SIP Session 0 0 0 0 SIP Tx 0 0 0 0 SIP Pinhole 0 0 0 0 Route Session 0 0 0 0 Router ID 0 0 0 0 User-Identity 2 0 0 0 CTS SGTNAME 0 0 0 0 CTS PAC 0 0 0 0 TrustSec-SXP 0 0 0 0 IPv6 Route 0 0 0 0 STS Table 0 0 0 0 Umbrella Device-ID 0 0 0 0 Logical Update Queue Information Cur Max Total Recv Q: 0 25 2748 Xmit Q: 0 30 1766
真机状态图
当模拟主设备故障(上面设备断电),备设备(下面这台设备)自动将FAILOVER状态切换为主设备,原主设备(上面设备)再次上线,就作为备机运行,如果需要强制切换可以使用该命令:
ciscoasa(config)# failover active Switching to Activeciscoasa(config)#