資源描述:
《cisco技術(shù)asa配置failover實(shí)例》由會(huì)員上傳分享����,免費(fèi)在線閱讀��,更多相關(guān)內(nèi)容在行業(yè)資料-天天文庫�。
1、某公司使用一臺(tái)ASA5520作為內(nèi)外網(wǎng)安全設(shè)備及互聯(lián)網(wǎng)出口�,現(xiàn)網(wǎng)還有一臺(tái)ASA5520也放置于出口,但兩臺(tái)設(shè)備沒有形成HA�����,并沒有配置failover���。出于提升網(wǎng)絡(luò)安全性和冗余的考慮���,現(xiàn)對(duì)設(shè)備進(jìn)行failover配置��。整個(gè)配置過程內(nèi)容如下:前提條件要實(shí)現(xiàn)failover�����,兩臺(tái)設(shè)備需要滿足以下的一些條件:1.相同的設(shè)備型號(hào)和硬件配置:設(shè)備模塊�����、接口類型,接口數(shù)量����,CPU,內(nèi)存�,flash閃存等2.相同的軟件版本號(hào),此處即指ASA的IOS版本�,IOS版本需要高于7.03.相同的FW模式,必須同為路由模式或者透明模式4.相同的特性集��,如支持的加密同為DES或者3DES5.合適的licensing
2�����、,兩臺(tái)設(shè)備的license符合基本要求���,能支持相同的failover除了以上的幾點(diǎn)之外���,兩臺(tái)ASA實(shí)現(xiàn)失效轉(zhuǎn)移failover還需要按照情況制作對(duì)應(yīng)的failover/stateful心跳線,可以是交叉網(wǎng)線�。經(jīng)過比對(duì)兩臺(tái)ASA5520的以上相關(guān)信息,發(fā)現(xiàn)目前兩臺(tái)ASA防火墻的IOS版本不一致���,ASA-A是“asa804-3-k8.bin��,SoftwareVersion8.0(4)3”����,ASA-B是“asa821-k8.bin����,SoftwareVersion8.2(1)”。通過比對(duì)還發(fā)現(xiàn)�����,兩臺(tái)ASA支持的Licensefeatures雖并不一致,但事實(shí)上�,實(shí)現(xiàn)failover不需要licen
3、sefeatures完全一致�����,只要關(guān)鍵的幾個(gè)特性如支持failover類型相同即可��。所以����,此兩臺(tái)設(shè)備如果要實(shí)現(xiàn)failover,則必須首先要做的就是使用ASA-B的升級(jí)ASA-A的IOS至8.2(1)�,或者將ASA-B的IOS降低至8.0(4)3版本,不推薦使用降級(jí)IOS的方式����,所以下面的小節(jié)將給出實(shí)現(xiàn)failover前升級(jí)ASA-A的IOS具體操作過程(命令腳本)����。???升級(jí)IOS方案此以升級(jí)ASA-A的IOS到8.2(1)版本來說明。降級(jí)OS的操作步驟類似�。說明:因?yàn)閮膳_(tái)ASA5520的硬件配置一樣,所以8.2(1)版本的IOS是可以支持所有ASA-A的功能及軟硬件配置的�����。所以,升級(jí)方
4�����、案是完全兼容現(xiàn)有硬件的�。?首先,將需要把ASA-B的IOS鏡像文件以及ASDM鏡像文件拷出來����。1.asa-b(config)#dir//顯示文件目錄2.#copydisk0:/asa821-k8.bintftp:拷貝ASA-B的IOS鏡像到TFTP服務(wù)器3.#copydisk0:/asdm-621.bintftp:拷貝ASA-B的ASDM鏡像到TFTP服務(wù)器?接下來的就是升級(jí)過程了1.asa(config)#dir//顯示文件目錄2.copydisk0:/asa804-3-k8.bintftp://將原有IOS文件備份到TFTP服務(wù)器上3.copydisk0:/asdm-615.bintf
5、tp://將原有asdm文件備份到TFTP服務(wù)器上4.copytftp:disk0://將新的IOS文件從TFTP服務(wù)器上拷貝到ASA中�����,需要指定TFTP上的鏡像文件名asa821-k8.bin5.copytftp:disk0://將新的ASDM鏡像文件從TFTP服務(wù)器上拷貝到ASA中�,指定ASDM鏡像名asdm-621.bin6.asa(config)#dir//再次顯示目錄,檢查文件是否拷貝成功7.asa(config)#nobootsystemdisk0:/asa804-3-k8.bin//取消原來的啟動(dòng)文件關(guān)聯(lián)8.asa(config)#dirasa(config)#bootsys
6��、temdisk0:/asa821-k8.binasa(config)#asdmimagedisk0:/asdm-621.bin//設(shè)置IOS文件及ASDM文件的關(guān)聯(lián)DeviceManagerimageset,butnotavalidimagefiledisk0:/asdm-603.bin//由于新的IOS文件在重新啟動(dòng)前并未生效�����,所以會(huì)提示新的ASDM鏡像在設(shè)置關(guān)聯(lián)的時(shí)候會(huì)提示無效�����。asa(config)#exit9.asa#wr//保存配置10.asa#reload重啟ASA-A,使設(shè)置生效至此����,IOS升級(jí)完畢,通過showtech查看ASA-A的信息是否與ASA-B一致���,如果沒有問題����,
7��、就可以進(jìn)行正式的failover配置工作了�。???為ASA配置failover升級(jí)完畢IOS后,接下來的就是進(jìn)行failover的配置設(shè)置了��?���?紤]到現(xiàn)網(wǎng)的情況�,作為業(yè)務(wù)和互聯(lián)網(wǎng)出口的主要安全設(shè)備是ASA-A,并且該設(shè)備目前的負(fù)荷不高�,完全可以滿足現(xiàn)網(wǎng)需求�,因此�����,本方案采用active/standby的failover方式���,并且��,由于理論以及實(shí)際環(huán)境的限制�,本方案采用LAN-basedfailover模式����。首先,做配置前需
