實驗環境:2臺ASA5508防火牆,組建HA使得一臺作爲主防火牆Active,另外一臺平時作爲standby作爲備用防火牆。防火牆有3個端口,
gi 1/1 端口爲outside出口 gi1/2 端口爲inside進口 gi 1/3 端口爲兩臺防火牆互連接口
實驗目的:使得兩臺防火牆互爲主備,平時只有一臺工作,另一臺作爲熱備在線。等主防火牆故障後,備防火牆直接切換爲主防火牆繼續提供服務。
實驗網絡拓撲圖:
該實驗操作也支持其他可以做熱備的設備配置,做熱備的兩臺設備必須是同型號同版本的,以下查看是否可以做熱備的配置:
ASA5508-Active# show version
首先配置第一臺防火牆,及主防火牆Active設備:
ASA5508-Active# configure ter
ASA5508-Active(config)#interface gi 1/1
ASA5508-Active(config-if)#nameif outside
ASA5508-Active(config-if)#security-level 0
ASA5508-Active(config-if)# ip address 172.16.1.11 255.255.255.0 standby 172.16.1.12 //standby爲備用防火牆設備接口1的ip地址
ASA5508-Active(config-if)#exit
ASA5508-Active(config)#interface gi 1/2
ASA5508-Active(config-if)#nameif inside
ASA5508-Active(config-if)#security-level 100
ASA5508-Active(config-if)#ip address 192.168.91.11 255.255.255.128 standby 192.168.91.12 //standby爲備用防火牆設備接口2的ip地址
ASA5508-Active(config-if)#exit
ASA5508-Active(config)#failover lan unit primary //指定該設備的角色爲主防火牆
ASA5508-Active(config)#failover lan interface failover gi1/3 //指定3號接口爲主備設備互聯接口(如果主備設備之間有多個端口連接,都需指定),
本實驗主備設備之間只有一個相連接口,所以只需指定一個接口。
ASA5508-Active(config)#failover link fover gi1/3 //指定狀態信息同步接口(即主備之間的配置信息同步接口),本實驗因爲主備之間只有一個接口相連
故本實驗可以不用指定。
ASA5508-Active(config)#failover interface ip failover 172.17.1.1 255.255.255.0 standby 172.17.1.2 //該IP地址是設置在接口3互聯的端口上,可以
隨意設置成自己定義的IP
ASA5508-Active(config)#failover lan key cisco //配置failover認證端口的密鑰,cisco可以自定義,即設置主備設備之間接口3互相通訊的密鑰爲cisco.
ASA5508-Active(config)#failover //主防火牆的所有配置都設置OK後,輸入該命令,即啓用熱備模式,注意,此命令一定要先在主設備上輸入,否則如果先在
備用設備輸入後,如果互聯線連接了,會導致把備用設備的配置覆蓋了主設備的配置。
ASA5508-Active# show inter //此時輸入show inter 會顯示接口3 位failover接口。
接下來配置備用設備standby設備:
ASA5508-Standby(config)#interface gi 1/3
ASA5508-Standby(config-if)#no shutdown
ASA5508-Standby(config-if)#exit
ASA5508-Standby(config)#failover lan unit secondary //設置該設備爲備用狀態
ASA5508-Standby(config)#failover lan interface failover gi1/3 //指定3號接口爲主備設備互聯接口(如果主備設備之間有多個端口連接,都需指定),
本實驗主備設備之間只有一個相連接口,所以只需指定一個接口。
ASA5508-Standby(config)#failover link fover gi1/3 //指定狀態信息同步接口(即主備之間的配置信息同步接口),本實驗因爲主備之間只有一個接口相連
故本實驗可以不用指定。
ASA5508-Standby(config)#failover interface ip failover 172.17.1.2 255.255.255.0 standby 172.17.1.1 //該IP地址是設置在接口3互聯的端口上,可以
隨意設置成自己定義的IP
ASA5508-Active(config)#failover lan key cisco //配置failover認證端口的密鑰,cisco可以自定義,即設置主備設備之間接口3互相通訊的密鑰爲cisco.
ASA5508-Active(config)#failover //即啓用熱備模式,注意,此命令一定要先在主設備上輸入,否則如果先在備用設備輸入後,如果互聯線連接了,
會導致把備用設備的配置覆蓋了主設備的配置。
至此兩臺設備同步信息後,配置只能在Active主設備上進行,備用設備hostname會喝主設備相同。可以通過show failover 查看,或者使用命令:
ASA5508-Active(config)#prompt hostname priority state 顯示該設備的狀態state
ASA5508-Active/pri/act(config)# //紅色字體表示該設備爲主設備的狀態爲activer活動狀態,即當前工作的是該主設備。
登錄備用設備查看
ASA5508-Standby(config)#prompt hostname priority state 顯示該設備的狀態state
ASA5508-Standby/sec/stby(config)# //紅色字體表示該設備爲備用設備的狀態爲stby備用狀態,即當前工作的是該主設備
其他配置信息:
比如登錄到主設備上輸入以下命令:
ASA5508-Active/pri/act(config)#no failover active //手動把主設備切換爲備用狀態 (默認如果主設備有問題會自動切換到備用設備工作狀態)
ASA5508-Standby/sec/stby(config)#failover active //手動備用設備切換爲active狀態