創(chuàng)新互聯(lián)公司是一家業(yè)務(wù)范圍包括IDC托管業(yè)務(wù),網(wǎng)絡(luò)空間、主機(jī)租用、主機(jī)托管，四川、重慶、廣東電信服務(wù)器租用,聯(lián)通服務(wù)器托管，成都網(wǎng)通服務(wù)器托管,成都服務(wù)器租用,業(yè)務(wù)范圍遍及中國大陸、港澳臺以及歐美等多個國家及地區(qū)的互聯(lián)網(wǎng)數(shù)據(jù)服務(wù)公司。

      思科ASA部署Failover

（Active/Standby）       

Failover 

   Failover是思科防火墻一種高可用技術(shù)，能在防火墻發(fā)生故障時數(shù)秒內(nèi)轉(zhuǎn)移配置到另一臺設(shè)備，使網(wǎng)絡(luò)保持暢通，達(dá)到設(shè)備級冗余的目的。 

工作原理：

   兩臺設(shè)備型號一樣（型號、內(nèi)存、接口等），通過一條鏈路連接到對端（這個連接也叫心跳線）。該技術(shù)用到的兩臺設(shè)備分為Active設(shè)備（Primary）和Stanby設(shè)備（Secondary）,這種冗余也可以叫AS模式。活躍機(jī)器處于在線工作狀態(tài)，備用處于待機(jī)狀態(tài)實時監(jiān)控活躍設(shè)備是否正常。當(dāng)主用設(shè)備發(fā)生故障后（接口down，設(shè)備斷電），備用設(shè)備可及時替換，替換為Avtive的角色。Failover啟用后，Primary設(shè)備會同步配置文件文件到Secondary設(shè)備，這個時候也不能在Scondary添加配置，配置必須在Active進(jìn)行。遠(yuǎn)程管理Failover設(shè)備時，登錄的始終是active設(shè)備這一點(diǎn)一定要注意，可以通過命令（showfailover）查看當(dāng)時所登錄的物理機(jī)器。目前啟用failover技術(shù)不是所有狀態(tài)化信息都可以同步，比如NAT轉(zhuǎn)換需要再次建立。

拓?fù)淙缦拢?/strong>

實施配置：

實現(xiàn)failover，兩臺設(shè)備需要滿足以下的一些條件：

1.相同的設(shè)備型號和硬件配置：設(shè)備模塊、接口類型，接口數(shù)量，CPU，內(nèi)存，flash閃存等

2.相同的軟件版本號，此處即指ASA的IOS版本，IOS版本需要高于7.0

3.相同的FW模式，必須同為路由模式或者透明模式

4.相同的特性集，如支持的加密同為DES或者3DES

5.合適的licensing，兩臺設(shè)備的license符合基本要求，能支持相同的failover

Master-FW設(shè)備配置：

interfaceManagement0/0

 management-only

 shutdown

 nameifmanagement

 security-level100

 ipaddress192.168.1.1 255.255.255.0

interfaceGigabitEthernet0/0

 nameifoutside

 security-level0

 ipaddress209.165.201.2 255.255.255.0 standby 209.165.201.3

interface GigabitEthernet0/1

 nameifinside

 security-level100

 ipaddress192.168.2.1 255.255.255.0 standby 192.168.2.2

interfaceGigabitEthernet0/2

 descriptionSTATEFailover Interface

interfaceGigabitEthernet0/3

 descriptionLANFailover Interface

failover  //啟動failover功能

failoverlan unitprimary  //定義本設(shè)備角色為主

failoverlaninterface Lan GigabitEthernet0/3  //定義failover通訊接口

failoverpolltimeunit msec 200 holdtime 1     //每200毫秒發(fā)送一個存活消息，持續(xù)1秒

failoverpolltimeinterface 3 holdtime 15      //每3秒發(fā)送一個hello包，持續(xù)15秒

failoverkey *****                         //定義共享密鑰相當(dāng)于認(rèn)證

failoverlinkSTATE GigabitEthernet0/2   //定義failover通訊接口

failoverinterfaceip Lan 172.16.1.1 255.255.255.0 standby 172.16.1.2 //定義主備通訊口ip

failoverinterfaceip STATE 172.16.2.1 255.255.255.0 standby 172.16.2.2 //定義主備通訊口ip

Backup-FW設(shè)備配置：

failover  //啟動failover功能

failoverlan unitsecondary  //定義本設(shè)備角色為備

failoverlaninterface Lan GigabitEthernet0/3  //定義failover通訊接口

failoverpolltimeunit msec 200 holdtime 1     //每200毫秒發(fā)送一個存活消息，持續(xù)1秒

failoverpolltimeinterface 3 holdtime 15      //每3秒發(fā)送一個hello包，持續(xù)15秒

failoverkey *****                         //定義共享密鑰相當(dāng)于認(rèn)證

failoverlinkSTATE GigabitEthernet0/2   //定義failover通訊接口

failoverinterfaceip Lan 172.16.1.1 255.255.255.0 standby 172.16.1.2//定義主備通訊口ip

failoverinterfaceip STATE 172.16.2.1 255.255.255.0 standby 172.16.2.2 //定義主備通訊口ip

注意：主備配置完成后，重啟備防火墻，主備配置進(jìn)行同步（只需配置主機(jī)，數(shù)據(jù)將備拷貝至備機(jī)）

failover觸發(fā)：

l 關(guān)于防火墻的檢測對象（檢測失敗進(jìn)行主備切換）查找資料思考良久，后來知曉，思科設(shè)備檢測對象與山石、juniper不同，不需要人工配置干預(yù)，設(shè)備自動檢測：

l 設(shè)備發(fā)生硬件失敗或電源故障

l 設(shè)備出現(xiàn)軟件失敗

l 太多monitored接口fail //可通過命令修改（failoverinterface-policy +端口數(shù)/故障端口百分比）

l no failover active命令在active設(shè)備上強(qiáng)制執(zhí)行或在standby設(shè)備輸入failoveractive

注意：failover觸發(fā)無法取消某個接口（如：Mgt口），且不能在設(shè)備的上下聯(lián)接口執(zhí)行shutdown命令模擬故障（由于執(zhí)行的命令會被同步至備設(shè)備，導(dǎo)致無法正常切換），只能通過拔插網(wǎng)線或硬件故障觸發(fā)。

常用命令：

showfailover state  //查看設(shè)備failover工作狀態(tài)

showmonitor-interface  //查看接口檢測狀態(tài)