Настроим Cisco
быстро и просто

Failover на Cisco ASA

Февраль 20, 2017

 

Перед тем, как настраивать резервирование на Cisco ASA (режим failover) необходимо четко понять следующее:

— из двух устройств Cisco ASA, объединенных в кластер и работающих в режиме failover, активным будет всегда только одно(!) из устройств.
— оба устройствах Cisco ASA должны быть одной и той же модели, например Cisco ASA 5515Х
— оба устройствах Cisco ASA должны быть с одним и тем же образом IOS, например 9.4(2)6
failover НЕ работает, если на Cisco ASA настроено подключение к провайдеру через pppoe соединение

Я сознательно умалчиваю об исключениях из этих правил, дабы свести к минимуму возможные дальнейшей проблемы с настройкой.

Обратите внимание!
В вопросе настройке failover не так важны строки конфигурации, как последовательность их ввода и подключения двух Cisco ASA друг к другу.

Failover на Cisco ASA

Шаг 0. Проверка

Удостоверьтесь, что версии IOS на обоих устройствах идентичны, а также поддерживают режим failover. Для этого используйте команду «sh ver»
FW-DELTACONFIG-1# sh ver
Cisco Adaptive Security Appliance Software Version 9.4(2)6
...
Failover : Enabled
...

Если IOS различаются, то обновите версию на одном из устройств.

Шаг 1. Выбор интерфейса для синхронизации

Подключитесь к первому межсетевому экрану Cisco ASA №1 и выберите один из его свободных интерфейсов, который будет использоваться для синхронизации с Cisco ASA №2. Для наглядности добавьте строку с комментарием (STATE Failover Interface). Попутно следует убрать все иные настройки на этом интерфейсе, если они есть, а также активировать его командой «no shutdown»
FW-DELTACONFIG (config)#
interface GigabitEthernet0/3
description STATE Failover Interface
no nameif
no security-level
no ip address
no shutdown

Шаг 2.

Включите режим failover на Cisco ASA №1
FW-DELTACONFIG (config)#
failover
failover lan unit primary
failover lan interface STATE GigabitEthernet0/3
failover polltime unit 1 holdtime 3
failover link STATE GigabitEthernet0/3
failover interface ip STATE 10.0.0.1 255.255.255.252 standby 10.0.0.2

Краткое пояснение:
STATE – название интерфейса
primary –порядковый номер устройства. Не стоит путать его с ролью устройства: может быть активным или «на подхвате» (active / standby)
10.0.0.1 и 10.0.0.2 – это адреса интерфейсов для синхронизации обоих Cisco ASA. Их можно заменить на другие, но важно помнить, что они должны быть из одной сети и не пересекаться с другими адресами.
Внимание!
На текущий момент настройки две Cisco ASA никак не подключены друг к другу. Включена только Cisco ASA №1. Вторая стоит в сторонке и ждет своей очереди.

Шаг 3. Подготовка Cisco ASA №2

Перед тем, как настраивать Cisco ASA №2, полностью очистите конфигурацию и отключите от устройства все провода.
FW-DELTACONFIG (config)#
clear configure all

Шаг 4.  Настройка Cisco ASA №2

Активируйте failover на Cisco ASA №2. Интерфейс для синхронизации и команды для failover идентичны тем, которые были для Cisco ASA №1, за исключением номера устройства. Здесь следует указать secondary.
FW-DELTACONFIG (config)#
interface GigabitEthernet0/3
description STATE Failover Interface
no nameif
no security-level
no ip address
no shutdown

failover
failover lan unit secondary
failover lan interface STATE GigabitEthernet0/3
failover polltime unit 1 holdtime 3
failover link STATE GigabitEthernet0/3
failover interface ip STATE 10.0.0.1 255.255.255.252 standby 10.0.0.2

После этого сохраните конфигурацию и выключите устройство из сети питания.
FW-DELTACONFIG (config)#
write

Шаг 5. Подключение

На текущий момент должно быть следующее:
Cisco ASA №1 включен и настроен для failover
Cisco ASA №2 выключен и настроен для failover
Соедините интерфейсы для синхронизации Gi 0/3 (тот, который выбрали в начале) обоих устройств и включите Cisco ASA №2. Во время загрузки в консоли управления устройством появится сообщение о найденном партнере (mate) и синхронизации конфигурации.
Beginning configuration replication: Sending to mate.
End Configuration Replication to mate

Cisco ASA №2 полностью скопирует себе в память конфигурацию от Cisco ASA №1. С этого момента все изменения необходимо осуществлять только(!) на Cisco ASA №1.

deltaconfig - cisco аутсорсинг

Шаг 6. Проверка работы failover

Помимо настройки и соединения интерфейсов для синхронизации необходимо подключить остальные интерфейсы обоих устройства абсолютно идентично.
В самом общем случае это внутренний интерфейс локальной сети (inside) и внешний интерфейс, к которому подключен провайдер Интернет или выделенный канал связи (outside). Необходимо точно также подключить внутреннюю сети и внешнего оператора связи к Cisco ASA №2.
Для проверки текущего состояния failover воспользуйтесь командой «sh failover». В выводе будет показана роль устройства, с которого выполнена команда, версия IOS на обоих Cisco ASA, а также состояние всех интерфейсов.
FW-DELTACONFIG# sh failover
Failover On
Failover unit Primary
Failover LAN Interface: STATE Gigabitethernet0/3 (up)
Unit Poll frequency 1 seconds, holdtime 3 seconds
Interface Poll frequency 5 seconds, holdtime 25 seconds
Interface Policy 1
Monitored Interfaces 2 of 110 maximum
Version: Ours 9.4(2)6, Mate 9.4(2)6
Last Failover at: 02:31:53 time Jul 7 2016
This host: Primary – Active
Active time: 95079907 (sec)
slot 0: ASA5510 hw/sw rev (2.0/8.2(1)11) status (Up Sys)
Interface inside (10.0.0.1): Normal
Interface outside (192.168.0.1): Normal
slot 1: empty
Other host: Secondary - Standby Ready
Active time: 0 (sec)
slot 0: ASA5515 hw/sw rev (1.0/9.4(2)6) status (Up Sys)
Interface inside (10.0.0.2): Normal
Interface outside (192.168.0.2): Normal
slot 1: empty

Обратите внимание на состояние Secondary устройства. В примере это Standby Ready. Это означает, что все работает штатно.
В случае, если состояние будет Other host: Secondary – Failed, то failover не работает. Проверьте включено ли питание на Cisco ASA №2, подключены ли все интерфейсы также, как и на Cisco ASA №1 и идентичны ли версии IOS.

Важно!

Алгоритм работы failover
1) При включении Cisco ASA проверяет наличие соседей и, если таковой имеется, берет на себя роль Standby, при этом полностью копирует текущую конфигурацию с активного устройства и переходит в ждущий режим.

2) Если соседей не найдено, то Cisco ASA переходит в состояние Active и работает как отдельно стоящее устройство.

3) Если все настроено корректно и состояние межсетевых экранов выглядит как Active/Standby, то переключение ролей происходит в следующих случаях:

— ручное переключение из консоли активного устройства через команду «no failover active». Устройства меняются ролями и трафик начинает идти через соседнее устройство.
— автоматическое переключение на соседнее устройство, если на активном устройстве выйдет из строя хотя бы один из интерфейсов. Если точно такой же интерфейс уже был неактивен на Standby устройстве, то переключения не произойдет

Важно!

Если один из интерфейсов на активном устройстве (Cisco ASA№1) вышел из строя, устройства поменялись ролями и №1 стал Standby, а после этого поблемный интерфейс восстановился, то обратного переключения не произойдет. Secondary устройство будет оставаться в состоянии Active до следующего сбоя на нем самом или до ручного переключения ролей (смотри выше «no failover active»). Принимать какие-бы то ни было меры при этом не требуется.

Важно!

Primary и Secondary – исключительно номера устройств. Они не имеют особого значения.
Active и Standby – роли устройств. Имеют определяющее значение и указывают на устройство, которое на данный момент работает с трафиком.

Для справки:
Обычно возникает вопрос: Как подключить канал от оператора связи сразу в оба межсетевых экрана? Каким образом сделать из одного провода два?
Очень просто – используйте коммутатор. Возьмите существующее оборудование, подключив Cisco ASA №2 к портам с такими же настройками Vlan, что и на потах, куда подключен Cisco ASA №1 или возьмите дополнительное устройство.
Достаточно самого простого коммутатора на 8 портов за 10$ — 20$. Подключите провод от провайдера в порт 1, а порты 2 и 3 соедините с обоими Cisco ASA. Этот вариант дешев, прост и понятен. В случае выхода из строя коммутатора его элементарно заменить за 5 минут на любой другой подобный. Один такой коммутатор требуется на каждый общий интерфейс.
Если позволяют финансы и бюджет, то для надежности я посоветую использовать коммутатор Cisco 2960, создав на нем нужное количество Vlan для каждого из интерфейсов на Cisco ASA.

Важно!

Не забудьте сохранить конфигурацию на Active устройстве командой write или copy run start. Иначе после перезагрузки все изменения будут потеряны.
FW-DELTACONFIG-1#write
Building configuration...
[OK]

Перейти к оглавлению

 

avatar
13 Цепочка комментария
7 Ответы по цепочке
0 Последователи
 
Популярнейший комментарий
Цепочка актуального комментария
8 Авторы комментариев
KirillДамирnevidimkastdОлегАндрей Авторы недавних комментариев
сначала новые сначала старые самые полезные
Kirill
Гость
Kirill

Годно , работает для ASAv50 поверх ESXI , и да PLR лицензии «стоят недорого» , «классический фаерволл» на 10G

Дамир
Гость
Дамир

Спасибо. Статья как нельзя кстати и всё еще актуальна. Как раз предстоит настраивать фаловер. Буду делать по вашему описанию

Олег
Гость
Олег

Здравствуйте. Подскажите такой момент. У меня с АСЫ в роутер inside интерфейс заходит не тегированный, просто ip адрес. В failover схеме, со свича, где собираются асы, провайдеры, dmz и inside я кидаю транк на dmz (например vlan 15 в котором 2 порта с двух ас — dmz) и на inside (например vlan 16 в котором тоже 2 порта с ас — это inside) с этими vlan-ами.
Таким образом мне нужно на роутере сделать сабинтерфейс, вместо обычного, например 0/1.16 и протегировать его? Так?
Спасибо!

Андрей
Гость
Андрей

Понятно. То есть если у меня, например 2 интерфейса от провайдера, один ДМЗ и один в локальную сеть, то я для каждого интерфейса прописываю (дополняю текущий конфиг.) standby IP? И еще один момент, внутри коммутатора (будет один 3750x), где все и сойдется, порты от провайдеров в access режиме должны быть и в своих vlan-ах, так? Из переписки ниже, не ясно. Спасибо

Андрей
Гость
Андрей

Здравствуйте, не совсем ясен один момент. Помимо failover линка, нужно ли настраивать линк к ISP провайдеру и inside интерфейс? К примеру есть одна аса, она давно стоит и работает. Купили вторую для организации A/S failover. Между ними failover линк настроен. А как теперь быть с остальными интерфейсами, например inside. Нужно ли его настраивать с указанием основного ip и standby по примеру основного и standby в failover линке? Также вопрос по интерфейсам провайдеров, как настраивать их? А если провайдер даёт только 1 ip адрес для выхода в Инет? Спасибо

Олег
Гость
Олег

Здравствуйте
Подскажите, на ASA 5512-x failover active\active лицензия sec.plus вопрос, как сменить режим на active\standby?
Спасибо

Сергей
Гость
Сергей

Для закрепления:)
1 провайдер — vlan 100, акцесс в свиче, 3 порта. (Один в провайдерский свич, второй в 1 асу третий во 2 асу)
2 провайдер — vlan 200, акцесс в свиче, 3 порта. (Один в провайдерский свич, второй в 1 асу третий во 2 асу)
3 провайдер — vlan 300, акцесс в свиче, 3 порта. (Один в провайдерский свич, второй в 1 асу третий во 2 асу)

Сергей
Гость
Сергей

Все,туплю. Понял. От провайдеров три в свич транками, а от ас по три акцесами. Спасибо

Сергей
Гость
Сергей

Почему так? 3 от одной в свич, 3 от другой в свич. Порты все в транк. Текущую конфигурацию в все менять не получится. Всего же 6. Зачем провайдеров в свич подключать?

Сергей
Гость
Сергей

Настроено уже след. образом: все три провайдера подключены в 3 разных физ. интерф. на АСА 0/1, 0/2, 0/3 сабов нет. Мне нужно от каждой АСЫ по 3 провода в свич сконнектить, т.е. 6 портов занято будет (3 к одной 3 к другой). На свиче их в акцесс влан 100, 200, 300 (например) определить? Так. Туплю. Или это транки будут?

Сергей
Гость
Сергей

Здравствуйте. Подскажите насчет подключения провайдеров. В основной АСА у меня их 3, чтобы не использовать 3 «тупых» свича, у меня есть 2960, ну или другой cisco L2 свич. На 2960 порты в L2 режиме, а от провайдеров чистые L3. Вопрос, в каком режиме должны работать порты от провайдеров в 2960. Как я понял для каждого провайдера создаём VLAN на 2960, например 100, 200, 300, загоняем 3 интерфейса от двух АС и каждого из провайдера в этот влан. Но не покидает меня вопрос насчет разных уровней OSI этих портов. Или я не так понял? Спасибо

ОЛЕГ
Гость
ОЛЕГ

Спасибо, хорошая статья, без «воды». Можно еще добавить команду
prompt hostname state priority
,тогда в имени будет видно — HOSTNAME/act/pri# — какая ASA
активная, а какая stby
HOSTNAME/stby/sec# , командой не нужно проверять

Антон
Гость
Антон

Спасибо!

×

Форма для связи