Cisco ASA Failover: Настройка

Небольшая шпаргалка по настройке Cisco ASA Failover в режиме Active/Standby failover с версией 9.x.

Какие варианты существуют?

Существует два типа работы Failover:

Active/Active failover — где трафик обрабатывается двумя устройствами. Данный метод не является средством увеличения производительности устройств и используется для балансировки нагрузки. При данном типе работы нельзя использовать IPsec VPN, SSL VPN и динамическую маршрутизацию.

Active/Standby failover — где трафик обрабатывается первым (активным) устройством, а второе находится в режиме ожидания и принимает нагрузку только в случае отказа первого. В данном типе работы доступно VPN failover.

Так как мы рассматриваем настройку Active/Standby failover то углубимся в данный тип работы.

В Active/Standby failover есть два режима работы :

Stateful failover — где обе ASA обмениваются информацией о состоянии сеансов по выделенному линку (Statefull Failover Link) и если какая-либо из ASA выйдет из строя, то другая подхватит существующие сеансы и продолжит работу.

Stateless failover — где при отказе основной (Active) все сеансы связи сбрасываются; активируется резервная (Standby) ASA, соединения для всех сеансов устанавливаются заново.

Перед тем как начать следует убедиться в следующем:
1. Обе ASA должны быть полностью одинаковыми во всем (модель, тип установленных модулей, количество ОЗУ и т.д.);
2. Обе ASA должны иметь одинаковый IOS;
3. Обе ASA должны иметь одинаковый загруженный образ AnyConnect (если таковой имеется или используется) и одинаковый файл профиля AnyConnect (если нет то копировать эти файлы вручную);
4. Обе ASA должны быть одинаково соединены с одними и теми же устройствами.

Что реплицируется и что нет?

Так же следует учесть что после настройки не все команды или файлы реплицируются межу Active и Stanby ASA.

Не реплицируются такие файлы как:

Файлы образ и профиль AnyConnect;

Образ Cisco Secure Desktop (CSD);

Локальные сертификаты;

ASDM образы;

ASA образы.

Не реплицируются следующие команды:

Команда Copy (исключение copy running-config startup-config);

Команда Write (исключение write memory);

Команда Debug и все ее составляющие;

Команда Failover lan unit и все ее составляющие;

Команда Firewall и все ее составляющие;

Команда Show;

Команда Terminal pager и pager.

По поводу лицензий на устрйоство.

Начиная с версии 8.3(1) достаточно лицензии только для Active устройства.

 

Настройка устройств.

Обе ASA никак не подключены друг к другу.

Настройка ASA-01

Первым делом необходимо выбрать интерфейс для Statefull Failover Link по которому ASA будут обмениваться состояниями.

На обоих ASA интерфейс должны быть одним и тем же.

Настройка Statefull Failover Link.


interface GigabitEthernet0/1
description STATE-REPLICATION Failover Interface
no nameif
no security-level
no ip address
no shutdown

Включаем режим failover на ASA-01


failover
failover lan unit primary
failover lan interface STATE-REPLICATION GigabitEthernet0/1
failover polltime unit 1 holdtime 3
failover link STATE-REPLICATION GigabitEthernet0/1
failover interface ip STATE-REPLICATION 172.16.0.1 255.255.255.252 standby 172.16.0.2
wri

Настройка ASA-02

Настройка Statefull Failover Link.


interface GigabitEthernet0/1
description STATE-REPLICATION Failover Interface
no nameif
no security-level
no ip address
no shutdown

Включаем режим failover на ASA-02


failover
failover lan unit secondary
failover lan interface STATE-REPLICATION GigabitEthernet0/1
failover polltime unit 1 holdtime 3
failover link STATE-REPLICATION GigabitEthernet0/1
failover interface ip STATE-REPLICATION 172.16.0.1 255.255.255.252 standby 172.16.0.2
wri

После этого выключаем ASA-02, соединяем между собой интерфейсы GigabitEthernet0/1 обеих ASA и включаем ASA-02.

После загрузки ASA-02 появится следующее:


Detected an Active mate
Beginning configuration replication from mate.

Если существуют какие-то недочеты и ошибки то они будут выведены в консоль.

Проверку работоспособности Failover проверяем командой sh failover на ASA-01 и получаем вывод:


Failover On
Failover unit Primary
Failover LAN Interface: STATE-REPLICATION GigabitEthernet0/1 (up)
Unit Poll frequency 1 seconds, holdtime 3 seconds
Interface Poll frequency 5 seconds, holdtime 25 seconds
Interface Policy 1
Version: Ours 9.1(7)12, Mate 9.1(7)12
Last Failover at: 08:52:25 MSK/MSD Jul 21 2018
              This host: Primary - Active
                             Active time: 2709783 (sec)
                             slot 0: ASA5550 hw/sw rev (2.0/9.1(7)12) status (Up Sys)
                             slot 1: ASA-SSM-4GE-INC hw/sw rev (1.0/1.0(0)10) status (Up)
              Other host: Secondary - Standby Ready
                             Active time: 0 (sec)
                             slot 0: ASA5550 hw/sw rev (2.0/9.1(7)12) status (Up Sys)
                             slot 1: ASA-SSM-4GE-INC hw/sw rev (1.0/1.0(0)10) status (Up)

Где Other host: Secondary - Standby Ready говорит о том, что failover работает нормально.

Если хотим доступность ASA Standby в сети.

Если вам необходима доступность Standby ASA в сети то выполните на Active ASA, на нужном вам интерфейсе следующее:


int НОМЕР ИНТЕРФЕЙСА
ip address IP-АДРЕС МАСКА standby IP-АДРЕС

Что делать если у вас подключен провайдре к одной из ASA?

Если к одной из ASA подключен провайдер и вы не знаете как подключить его к второй ASA то поставьте в разрез обычный коммутатор или соберите виртуальный коммутатор на управляемом коммутаторе, умеющим использовать VLAN - просто выделите 3 порта в VLAN не использующийся в конфигурациях оборудования и подключите в них обе ASA и вашего провайдера.

Команды Show, которые помогут.

Show conn count
Show failover
Show failover exec
Show failover exec mate
Show failover group
Show monitor-interface
Show running-config failover