中继者分享：在思科ASA上部署Failover实例演示-上

Part 1 - Failover简介
一. 什么是Failover
    Failover特性是Cisco安全产品高可用性的一个解决方案，目的是为了提供不间断的服务，当主设备down掉的时候，备用设备能够马上接管主设备的工作，进而保持通信的连通性。
二. 部署Failover的必要条件
在部署Failover时，要求两台防火墙的以下信息完全一致：
硬件条件：设备型号、接口数量和类型、SSM模块、内存；
软件条件：运行模式（透明模式或路由模式）、系统主次版本号；
授权信息：Lincense；
三. Failover的部署方案
在部署Failover时，有两种部署方式：
第一种：Active-Standby（A/S）模式
当使用A/S模式时，两台物理防火墙中，一台（Active设备）对外提供服务，转发流量；另外一台（Standby设备）作为备份。当Active设备宕机后，Standby设备开始接管流量转发。
第二种：Active-Active（A/A）模式
当使用A/A模式时，两台防火墙可以同时工作，同时转发流量，再实现高可靠性的同时，还可以提供流量负载。
failover部署方案图示：


Part 2 - Active-Standby模式的工作原理
注：Actvie-Actvie的部署方式将在下一篇文章中给大家详细介绍！
一. 角色定义
      配置层面：Primary和Secondary角色
一台防火墙被配置成Primary角色，另外一台防火墙被配置成Secondary角色；
       逻辑层面：Active和Standby状态
被配置成Primary角色的设备，会被选举成为Active，从而处理流量的转发；被配置成为Secondary角色的设备，会被选举成为Standby，从而做为备份设备；
二. 管理接口
    在部署Failover时，除了正常的业务接口以外，还需要定义两个特殊的接口来管理Failover的运行。
LAN-Based Failover link：该接口用来检测Failover的运行状态，并且进行配置信息的同步，使用独立的接口来充当；
Stateful Failover Link：该接口用来同步状态化信息，即Active设备会将当前流量的连接信息（例如，TCP连接）或者是一些表项同步给Standby设备，使得Standby设备在切换到Active后，能更快的进行数据转发，思科推荐使用独立接口来充当；
    管理接口的图示如下：
E0/2接口为LAN-Based Failover link；
E0/3接口为Stateful Failover Link；
 
三. Failover的选举过程
    当两台防火墙被配置成Primary或者Secondary角色后，它们会通过LAN-Based Failover link进行Active和Standby状态的选举，具体过程如下：
当两台防火墙都能正常启动时，Primary角色的设备会被选择成Active，Secondary角色的设备会被选择成Standby；
当两台防火墙只有一台能正常启动，则能正常启动的设备被选择为Active，不管它是Primary设备还是Secondary设备；
如果防火墙能正常启动，但是已检测到有Active状态的设备存在，则启动后被选择成Standby状态；
如果防火墙启动后，被选择成为Active，但是又检测到另外一台设备也是Active，则进行重新选举；
四. 邻居设备的健康状态监控
    参与Failover的两台防火墙，彼此会通过LAN-Based Failover link接口和Monitired interface（默认除了管理口外的其它接口都属于Monitired interface）发送Hello报文，来检测健康状态。
    健康状态的检测原则为：
如果能从LAN-Based Failover link接口周期性收到Hello报文，则邻居状态健康，不需要进行切换；
如果不能从LAN-Based Failover link接口收到Hello报文，但是可以从Monitired interface收到Hello报文，也被认为邻居状态健康，不需要进行切换；
如果既不能从LAN-Based Failover link接口收到Hello报文，也不能从Monitired interface收到Hello报文，则被认为是Fail状态，这时就需要进行切换；
五. 状态信息的同步
    当Active设备出现故障时，Standby状态的设备会切换到Active状态来接管流量的转发。
    为了使得切换速度更块，我们可以开启状态化同步的特性，使得Active设备在还没有出现故障之前，通过Stateful Failover Link接口，将自己的状态化表项同步给Standby，使得Standby在切换后能迅速的进行流量的转发

需要同步的信息如下表所示：

Part 3 - 实验配置
一. 实验环境
实验物理拓扑图：

设备及IP地址说明：
R1为outside设备，模拟互联网，R2为inside设备，模拟局域网。
ASA1和ASA2接口分配情况
接口
接口命名
G0/0
Inside
G0/3
Outside
G0/2
LAN-Based Failover
G0/1
Statefull Failover
VLAN规划情况
VLAN
接口
VLAN 10
E0/0、E1/0、E2/1
VLAN 11
E0/1、E1/1
VLAN 12
E0/2、E1/2
VLAN 13
E0/3、E1/3、E2/0
IP地址规划情况
设备
接口
IP地址
R1
E0/0
209.165.200.254/24
R2
E0/0192.168.1.254/24
ASA1
G0/0
192.168.1.10/24
ASA1
G0/1192.168.201.1/24
ASA1
G0/2192.168.200.1/24
ASA1
G0/3209.165.200.225/24
ASA2
G0/0192.168.1.11/24
ASA2G0/1192.168.201.2/24
ASA2G0/2192.168.200.2/24
ASA2G0/3209.165.200.226/24
二. 实验需求
部署无状态化Failover Active-Standby模式，ASA1为Active，ASA2为standby，当LAN-Based Failover link断开，观察Failover切换情况。
部署状态化Failover Active-Standby模式，ASA1为Active，ASA2为standby，当LAN-Based Failover link断开，观察Failover切换情况。以及状态化表项
三. 具体配置步骤
Step 1：在交换机上将接口划分进相应的VLAN
Switch#show vlan brief
VLAN Name                             Status    Ports
---- -------------------------------- --------- -------------------------------
1    default                          active    Et2/2, Et2/3
10   inside                           active    Et0/0, Et1/0, Et2/1
11   Stateful                          active    Et0/1, Et1/1
12   FO                              active    Et0/2, Et1/2
13   outside                          active    Et0/3, Et1/3, Et2/0
Step 2：在ASA1上配置相关参数
2.1 配置inside和outside接口的IP地址
Hostname ASA1
interface Giga bi tEthernet0/0
nameif inside
security-level 100
ip address 192.168.1.10 255.255.255.0 standby 192.168.1.11
interface GigabitEthernet0/3
nameif outside
security-level 0
ip address 209.165.200.225 255.255.255.0 standby 209.165.200.226
2.2 将ASA1配置成Primary设备，同时将G0/2接口配置成LAN-Based Failover接口，并配置IP地址
interface GigabitEthernet0/2
no shutdowm
failover lan unit primary
failover lan interface FO GigabitEthernet0/2
failover interface ip FO 192.168.200.1 255.255.255.0 standby 192.168.200.2
Failove
Step 3：在ASA2上配置相关参数
注：Secondary设备中无需配置inside接口和outside接口IP，直接从Active设备同
3.1 将ASA2配置成Secondary设备，同时将G0/2接口配置成LAN-Based Failover接口，并配置IP地址
Hostname ASA2
interface GigabitEthernet0/2
no shutdowm
failover lan unit secondary
failover lan interface FO GigabitEthernet0/2
failover interface ip FO 192.168.200.1 255.255.255.0 standby 192.168.200.2
Failove
Step 4：查看Failover的状态，ASA1为Active，ASA2为Standby
ASA1/pri/act# show failover
Failover On
Failover unit Primary
Failover LAN Interface: FOGigabitEthernet0/2 (up)
Reconnect timeout 0:00:00
Unit Poll frequency 1 seconds, holdtime 15 seconds
Interface Poll frequency 5 seconds, holdtime 25 seconds
Interface Policy 1
Monitored Interfaces 2 of 61 maximum
MAC Address Move Notification Interval not set
Version: Ours 9.5(2)204, Mate 9.5(2)204
Last Failover at: 01:56:09 UTC Jan 10 2019
This host: Primary - Active
Active time: 3163 (sec)
slot 0: empty
Interface inside (192.168.1.10): Normal (Monitored)
Interface outside (209.165.200.225): Normal (Monitored)
Other host: Secondary - Standby Ready
Active time: 91 (sec)
Interface inside (192.168.1.11): Normal (Monitored)
Interface outside (209.165.200.226): Normal (Monitored)
Stateful Failover Logical Update Statistics
Link : Unconfigured
Step 5：通过Telnet进行测试
5.1 在R2上，对R1进行Telnet访问，并保持连接不要中断
R2#
R2#telnet 209.165.200.254
Trying 209.165.200.254 ... Open
User Access Verification
Password:
R1
5.2 在ASA1和ASA2上查看状态化表项，此时，ASA1上应该有状态化表项，而ASA2上没有状态化表项
ASA1/pri/act# show conn
7 in use, 14 most used
TCP outside  209.165.200.254:23 inside  192.168.1.254:36816, idle 0:00:04, bytes 139, flags UIO
ASA2/sec/stby# show conn
6 in use, 13 most use
Step 6：故障测试
6.1 断开交换机连接Active设备的Ethernet0/0口，观察切换情况，此时，Active设备切换成了Standby状态。
Switch(config)#interface Ethernet0/0
Switch(config)#shutdown
ASA1/pri/act#
Switching to Standby
ASA1/pri/stby)# show failover
Failover On
Failover unit Primary
Failover LAN Interface: FO GigabitEthernet0/2 (up)
Reconnect timeout 0:00:00
Unit Poll frequency 1 seconds, holdtime 15 seconds
Interface Poll frequency 5 seconds, holdtime 25 seconds
Interface Policy 1
Monitored Interfaces 2 of 61 maximum
MAC Address Move Notification Interval not set
Version: Ours 9.5(2)204, Mate 9.5(2)204
Last Failover at: 03:01:54 UTC Jan 10 2019
This host: Primary - Failed
                Active time: 3936 (sec)
                slot 0: empty
                  Interface inside (192.168.1.11): Failed (Waiting)
                  Interface outside (209.165.200.226): Normal (Monitored)
  Other host: Secondary - Active
                Active time: 45 (sec)
                  Interface inside (192.168.1.10): Normal (Waiting)
                  Interface outside (209.165.200.225): Normal (Monitored)
Stateful Failover Logical Update Statistics
        Link : Unconfigured.
6.2 恢复交换机接口，由于非抢占的原因，ASA1依然为Standby状态，，可以使用Failover Active命令进行手动抢占
Switch(config)#int Ethernet0/0
Switch(config)#no shutdown
ASA1/pri/stby)# show failover
Failover On
Failover unit Primary
Failover LAN Interface: FO GigabitEthernet0/2 (up)
Reconnect timeout 0:00:00
Unit Poll frequency 1 seconds, holdtime 15 seconds
Interface Poll frequency 5 seconds, holdtime 25 seconds
Interface Policy 1
Monitored Interfaces 2 of 61 maximum
MAC Address Move Notification Interval not set
Version: Ours 9.5(2)204, Mate 9.5(2)204
Last Failover at: 03:01:54 UTC Jan 10 2019
This host: Primary - Standby Ready
                Active time: 3936 (sec)
                slot 0: empty
                  Interface inside (192.168.1.11): Normal (Monitored)
                  Interface outside (209.165.200.226): Normal (Monitored)
        Other host: Secondary - Active
                Active time: 254 (sec)
                  Interface inside (192.168.1.10): Normal (Monitored)
                  Interface outside (209.165.200.225): Normal (Monitored)
Stateful Failover Logical Update Statistics
        Link : Unconfigured.
ASA1/pri/stby)# failover active
Switching to Active
Step 7：开启状态化切换
7.1 配置Stateful Failover Link链路，该配置在Active端配置即可，Standby会自动同步
ASA1/sec/act#failover link Stateful GigabitEthernet0/1
ASA1/sec/act#failover interface ip Stateful 192.168.201.1 255.255.255.0 standby 192.168.201.2
7.2 查看状态化表项，ASA1和ASA2上均有状态化表项
ASA1/sec/act # show conn
9 in use, 14 most used
TCP outside  209.165.200.254:23 inside  192.168.1.254:13699, idle 0:00:06, bytes 146, flags UIO
ASA1/pri/stby)# show conn
9 in use, 13 most used
TCP outside  209.165.200.254:23 inside  192.168.1.254:13699, idle 0:00:01, bytes 146, flags UIO
Step 8：其他可选配置
8.1 修改Active/Standby切换时间
failover polltime unit msec 300 holdtime msec 900
failover polltime interface 1 holdtime 5
8.2 修改监控接口，设置切换策略
Monitor-interface xxx
Failover interface-policy x
Failover interface-policy xx%

武汉中继者
咨询电话：027-87128828
官方QQ：3120568779
网站 www.helperaddress.com
公司地址：武汉市武昌区丁字桥路思特大厦9楼906室