資源描述:
《ASA雙主 Failover配置操作》由會員上傳分享����,免費在線閱讀����,更多相關(guān)內(nèi)容在教育資源-天天文庫。
1�、ASAActive/AcitveFO注:以下理論部分摘自百度文庫:ASA狀態(tài)化的FO配置,要在物理設(shè)備起用多模式��,必須創(chuàng)建子防火墻�����。在每個物理設(shè)備上配置兩個Failover組(failovergroup)����,且最多配置兩個�。Failover特性是Cisco安全產(chǎn)品高可用性的一個解決方案�����,目的是為了提供不間斷的服務(wù)�,當(dāng)主設(shè)備down掉的時候,備用設(shè)備能夠馬上接管主設(shè)備的工作���,進而保持通信的連通性��;Failover配置要求兩個進行Failover的設(shè)備通過專用的failover線纜和可選的StatefulFailover線纜互相連接��;活動設(shè)備
2����、的接口被monitor�����,用于發(fā)現(xiàn)是否要進行Failover切換Failover分為failover和StatefulFailover�,即故障切換和帶狀態(tài)的故障切換。不帶狀態(tài)的failover在進行切換的時候�,所有活動的連接信息都會丟失,所有Client都需要重新建立連接信息���,那么這會導(dǎo)致流量的間斷�。帶狀態(tài)的failover�����,主設(shè)備將配置信息拷貝給備用設(shè)備的同時�����,也會把自己的連接狀態(tài)信息拷貝給備用設(shè)備�,那么當(dāng)主的設(shè)備down的時候,由于備用設(shè)備上保存有連接信息����,因此Client不需要重新建立連接,那么也就不會導(dǎo)致流量的中斷�����。Failove
3����、rlink兩個failover設(shè)備頻繁的在failoverlink上進行通信,進而檢測對等體的狀態(tài)����。以下信息是通過failoverlink通信的信息:?l設(shè)備狀態(tài)(activeorstandby)��;?l電源狀態(tài)(只用于基于線纜的failover����;)?lHellomessages(keep-alives)���;lNetworklink狀態(tài)���;lMAC地址交換;?l配置的復(fù)制和同步����;(Note:所有通過failover和statefulfailover線纜的信息都是以明文傳送的,除非你使用failoverkey來對信息進行加密�;)Stateful
4、link在statefullink上����,拷貝給備用設(shè)備的連接狀態(tài)信息有:?lNAT轉(zhuǎn)換表;?lTCP連接狀態(tài)�����;?lUDP連接狀態(tài);?lARP表?l2層轉(zhuǎn)發(fā)表(運行在透明模式的時候)?lHTTP連接狀態(tài)信息(如果啟用了HTTP復(fù)制)?lISAKMP和IPSecSA表?lGTPPDP連接數(shù)據(jù)庫以下信息不會拷貝給備用設(shè)備:?lHTTP連接狀態(tài)信息(除非啟用了HTTP復(fù)制)?l用戶認證表(uauth)?l路由表?..lDHCP服務(wù)器地址租期Failover包括LAN-BasedFailover和Cable-BasedFailover���;對于PIX設(shè)
5���、備���,只支持基于線纜(Cable-Based)的Failover����;FailoverlinkLAN-BasedFailoverlink可以使用未使用的接口來作為failoverlink��。不能夠使用配置過名字的接口做為failover接口�����,并且�����,failover接口的IP地址不能夠直接配置到接口上�����;應(yīng)使用專門的命令對其進行配置;該接口僅僅用于failover通信��;兩個failover接口之間必須使用專用的路徑�����,如�,使用專用的交換機,該交換機上不連接任何其他設(shè)備�����;或者使用正常交換機的時候����,劃一個VLAN,并且僅僅將failover接口劃分到該V
6�����、LAN中��;Cable-BasedFailoverlink這種failover對兩個failover設(shè)備的距離有要求�,要求距離不能超過6英尺;并且使用的線纜也是failover線纜,該線纜的一端標(biāo)記“Primary”����,另一端標(biāo)記“Secondary”并且設(shè)備的角色是通過線纜指定的,連接在Primary端的設(shè)備被指定為主��,連接在Secondary端的設(shè)備被指定為備��;該線纜傳送數(shù)據(jù)的速率為115Kbps����;因此同步配置的速度相比LAN-Base的failover會慢�;StatefulFailoverLink如果使用帶狀態(tài)的Failover,那么
7�����、就需要配置一個用于傳送狀態(tài)信息的線纜���,你可以選用以下三種線中的一種作為statefulfailoverlink:l用專用的接口連接StatefulfailoverLink�;?l使用LAN-Basedfailover�,你也可以使用failoverlink作為statefulfailoverlink,即failover和statefulfailover使用同一個線纜��;——要求該接口是fastestEthernet;?l你也可以使用數(shù)據(jù)接口作為StatefulFailover接口����,比如insideinterface。但是不推薦這樣做���;每種fa
8��、ilover又包含有Active/Active(以后簡寫為��,A/A)和Active/Standby(以后簡寫為A/S)兩類����;A/Afailover�,兩個設(shè)備可以同時傳送流量。這可以讓你實現(xiàn)負載均衡���。A/Af
