Cấu hình chuyển đổi dự phòng (Failover) Active-Standby với Firewall Cisco ASA

Chuyển đổi dự phòng ASA Active / Standby có nghĩa là kết nối hai đơn vị tường lửa Cisco ASA giống nhau qua cáp LAN để khi một thiết bị hoặc giao diện bị lỗi thì thiết bị thứ hai sẽ tiếp quản lưu lượng và trở thành thiết bị hoạt động (Active).

Trong quá trình hoạt động bình thường, ASA đang hoạt động (Active) sẽ đồng bộ hóa cấu hình của nó với thiết bị dự phòng (Standby). Cấu hình phải được thay đổi trên ASA đang hoạt động. Nếu chúng bạn cố gắng thay đổi cấu hình trên ASA ở chế độ chờ, thì cảnh báo sau sẽ được hiển thị:

ASA-TGM# configure terminal
**** WARNING ****
Configuration Replication is NOT performed from Standby unit to Active unit.
Configurations are no longer synchronized.
ASA(config)#

Trong quá trình chuyển đổi dự phòng active/standby, ASA hoạt động(Active) nhận tất cả các luồng lưu lượng và lọc tất cả lưu lượng mạng trong khi ASA phụ (Standby) ở chế độ Sẵn sàng.

Chuyển đổi dự phòng ASA hoạt động ở 2 chế độ: Chuyển đổi dự phòng trạng thái (Stateful Failover) và Chuyển đổi dự phòng thông thường (Regular Failover). Trong quá trình chuyển đổi dự phòng thông thường(Regular Failover), khi chuyển đổi dự phòng xảy ra, tất cả các kết nối đang hoạt động sẽ bị ngắt. Tuy nhiên, trong khi chuyển đổi trạng thái dự phòng (Stateful Failover), thiết bị đang hoạt động(Active) liên tục chuyển trạng thái của mỗi kết nối sang thiết bị dự phòng(Standby).

Khi chuyển đổi dự phòng (Failover) xảy ra cả hai thiết bị ASA sẽ có kiến thức về tất cả các kết nối. ASA đang hoạt động sẽ gửi thông tin trạng thái của các giao thức / bảng sau đến ASA dự phòng:

• NAT Translation Table
• TCP connection Table
• UDP Connection Table
• ARP Table
• Layer2 Bridge Table (if Transparent mode enabled)
• HTTP Connection Table (if HTTP Replication enabled)
• ISAKMP and SA Table
• GTP PDP Connection table

Những thứ sau không được đồng bộ hóa:

• HTTP connection Table (unless HTTP Replication Enable)
• Routing Table
• User Authentication (UAUTH) Table
• State Information for Security Service Module.

Có một số yêu cầu thiết bị được xác định trước để cho phép hai ASA hoạt động ở chế độ Chuyển đổi dự phòng: cả hai phải cùng một kiểu, cả hai đều phải cùng loại, cùng dung lượng RAM và FLASH, cùng giấy phép và phiên bản. IOS của cả hai ASA phải khớp với nhau. Nếu bất kỳ yêu cầu nào trong số này không được đáp ứng, thì chúng không thể hoạt động ở chế độ chuyển đổi dự phòng.

Hãy xem xét một ví dụ về cấu hình chuyển đổi dự phòng active/standby (xem sơ đồ bên dưới). Các giao diện Bên ngoài trên ASA là Ge0 / 0 và các giao diện LAN là Ge0 / 1.

Đối với Chuyển đổi dự phòng, chúng ta sẽ sử dụng Ge0 / 2, đặc biệt Ge0 / 2.1 sẽ là giao diện Chuyển đổi dự phòng và Ge0 / 2.2 là giao diện trạng thái (qua đó thông tin về các trạng thái giao thức sẽ được trao đổi).

Lưu ý rằng bạn không phải sử dụng hai kết nối khác nhau cho Chuyển đổi dự phòng và Trạng thái. Chúng có thể chia sẻ cùng một kết nối / giao diện.

​

Cấu hình chuyển đổi dự phòng với Firewall Cisco ASA

Cấu hình thiết bị Hoạt động (Active):

Lưu ý: Luôn bắt đầu với ASA đang hoạt động trước.

!Gán địa chỉ IP cho giao diện bên ngoài. Trong quá trình chuyển đổi dự phòng, địa chỉ IP chính sẽ được gán cho Thiết bị Dự phòng.
asa-tgm(config)# interface g0/0
asa-tgm(config-if)# ip address 192.168.1.1 255.255.255.0 standby 192.168.1.2

! Gán địa chỉ IP cho giao diện bên trong. Trong quá trình chuyển đổi dự phòng, địa chỉ IP chính sẽ được gán cho Thiết bị Dự phòng.
asa-tgm(config)# interface g0/1
asa-tgm(config-if)# ip address 192.168.2.1 255.255.255.0 standby 192.168.2.2

! kích hoạt Chuyển đổi dự phòng mạng LAN.
asa-tgm(config)#failover lan enable

! chọn thiết bị làm chính.
asa-tgm(config)#failover lan unit primary

! Xác định giao diện chuyển đổi dự phòng. Trong tài liệu này, “chuyển đổi dự phòng” (giao diện GigabitEthernet0 / 2.1) được sử dụng làm giao diện chuyển đổi dự phòng.
asa-tgm(config)#failover lan interface failover Ge0/2.1

! Gán địa chỉ IP cho các giao diện chuyển đổi dự phòng.
asa-tgm(config)#failover interface ip failover 192.168.3.1 255.255.255.0 standby 192.168.3.2

Trong bài viết này, “trạng thái” (giao diện GigabitEthernet0 / 2.2) được sử dụng làm trạng thái giao diện.

! Xác định giao diện chuyển đổi dự phòng trạng thái
asa-tgm(config)#failover link state Ge0/2.2

! Gán địa chỉ IP cho các giao diện chuyển đổi trạng thái dự phòng
asa-tgm(config)#failover interface ip state 192.168.4.1 255.255.255.0 standby 192.168.4.2

! kích hoạt chuyển đổi dự phòng
asa-tgm(config)#failover

Lưu ý: Trước tiên hãy phát hành lệnh chuyển đổi dự phòng trên thiết bị chính, sau đó đưa ra lệnh trên thiết bị phụ. Sau khi bạn đưa ra lệnh chuyển đổi dự phòng trên thiết bị thứ cấp, thiết bị thứ cấp ngay lập tức lấy cấu hình từ thiết bị chính và tự đặt ở chế độ chờ.

ASA chính vẫn hoạt động và chuyển lưu lượng truy cập bình thường và tự đánh dấu là thiết bị đang hoạt động. Kể từ thời điểm đó, bất cứ khi nào xảy ra lỗi trên thiết bị đang hoạt động, thiết bị chờ sẽ hoạt động.

Cấu hình thiết bị dự phòng (Standby):

! cho phép chuyển đổi dự phòng mạng LAN
asa-tgm(config)#failover lan enable

! Xác định giao diện chuyển đổi dự phòng
asa-tgm(config)#failover lan interface failover Ge0/2.1

! gán địa chỉ IP cho giao diện chuyển đổi dự phòng
asa-tgm(config)#failover interface ip failover 192.168.3.1 255.255.255.0 standby 192.168.3.2

! đặt đơn vị này là phụ
asa-tgm(config)#failover lan unit secondary

! Bật chuyển đổi dự phòng.
asa-tgm(config)#failover

Sau khi hoàn thành ở trên, quá trình sao chép cấu hình sẽ bắt đầu với thông báo sau:

“Beginning configuration replication: Sending to mate” ……….
“End Configuration Replication to mate.”

Tất cả các lệnh cấu hình sẽ được thực hiện trên thiết bị Chính kể từ bây giờ. Kết nối với thiết bị chính và ra lệnh “write memory” để lưu cấu hình. Thì tự động cũng chạy lệnh “write standby” để lưu cấu hình vào thiết bị phụ.

Lệnh xác minh và khắc phục sự cố:

! hiển thị chuyển đổi dự phòng trên ASA chính
asa-tgm # show failover
Failover On
Last Failover at: 05:12:14 tbilisi Dec 7 2010
This context: Active
Active time: 14228860 (sec)
Interface outside (192.168.1.1): Normal
Interface inside (192.168.2.1): Normal
Peer context: Standby Ready
Active time: 1104 (sec)
Interface outside (192.168.1.2): Normal
Interface inside (192.168.2.2): Normal
Stateful Failover Logical Update Statistics
Status: Configured.
Stateful Obj xmit xerr rcv rerr
RPC services 0 0 0 0
TCP conn 1217633001 31648 2774 0
UDP conn 1128592801 0 15204 0
ARP tbl 2435313 0 420 10
Xlate_Timeout 0 0 0 0
SIP Session 885790 0 0 0

! hiển thị chuyển đổi dự phòng trên thiết bị thứ cấp.
asa-tgm# show failover
Failover On
Last Failover at: 05:12:14 tbilisi Dec 7 2010
This context: Standby Ready
Active time: 1104 (sec)
Interface outside (192.168.1.2): Normal
Interface inside (192.168.2.2): Normal
Peer context: Active
Active time: 14228965 (sec)
Interface outside (192.168.1.1): Normal
Interface inside (192.168.1.2 ): Normal
Stateful Failover Logical Update Statistics
Status: Configured.
Stateful Obj xmit xerr rcv rerr
RPC services 0 0 0 0
TCP conn 7349 638711328 571031340 112
UDP conn 45152 0 1136400282 886
ARP tbl 430 0 2435305 36
Xlate_Timeout 0 0 0 0
SIP Session 0 0 885779 11

Cấu hình giao diện dự phòng của Cisco ASA

Ngoài chuyển đổi dự phòng cấp thiết bị như chúng ta đã thảo luận ở trên, bạn cũng có thể định cấu hình dự phòng giao diện trên cùng một tường lửa Firewall Cisco ASA.

Về cơ bản, bạn có thể tạo một gói cặp giao diện hợp lý (được gọi là “interface redundant”) trong đó bạn bao gồm hai giao diện vật lý.

Nếu một trong các giao diện bị lỗi, giao diện thứ hai trong cặp dự phòng sẽ tiếp quản và bắt đầu chuyển lưu lượng truy cập.

Bạn có thể cấu hình tối đa 8 cặp giao diện dự phòng. Sau khi bạn định cấu hình cặp giao diện dự phòng, tất cả cấu hình thiết bị bảo mật đề cập đến cặp giao diện dự phòng hợp lý này thay vì các giao diện vật lý thành viên.

Các nguyên tắc sau đây cần được tuân thủ đối với giao diện dự phòng và các thành viên của nó:

• Trước tiên, bạn phải xóa tên của giao diện vật lý (sử dụng lệnh no nameif) trước khi thêm nó vào giao diện dư thừa hợp lý.
• Cả hai giao diện thành viên phải có cùng kiểu vật lý. Đó là chúng phải là cả GigabitEthernet hoặc cả Ethernet.
• Cấu hình duy nhất có sẵn cho các giao diện vật lý là một phần của cặp giao diện dự phòng là các tham số vật lý (tức là lệnh tắt và lệnh mô tả).

Cấu hình giao diện dự phòng:

ASA-TGM(config)# interface redundant 1
ASA-TGM(config-if)# member-interface gigabitethernet 0/0
ASA-TGM(config-if)# member-interface gigabitethernet 0/1

Từ bây giờ, tất cả các lệnh liên quan đến giao diện phải tham chiếu đến " interface redundant 1 ".

Thiết lập Active / Standby trên Firewall Cisco ASA có nhiều trường hợp sử dụng và một trường hợp rất phổ biến được mô tả ở trên. Bạn có thể đặt một thiết bị vật lý ASA trong một tòa nhà và thiết bị thứ hai trong một tòa nhà khác, do đó cũng cung cấp khả năng dự phòng về địa lý.

Yêu cầu duy nhất là cả hai thiết bị Cisco ASA phải được kết nối với kết nối Lớp 2 để chúng có thể tái tạo các trạng thái và kết nối giữa nhau.

Chúc các bạn thành công!

Bài viết liên quan:

- Giới thiệu Failover trên Firewall ASA
- Cấu hình redundant interface trên Cisco ASA