資源描述:
《cisco技術(shù)asa配置failover實例》由會員上傳分享,免費在線閱讀��,更多相關(guān)內(nèi)容在行業(yè)資料-天天文庫����。
1、某公司使用一臺ASA5520作為內(nèi)外網(wǎng)安全設(shè)備及互聯(lián)網(wǎng)出口�����,現(xiàn)網(wǎng)還有一臺ASA5520也放置于出口�,但兩臺設(shè)備沒有形成HA,并沒有配置failover����。出于提升網(wǎng)絡(luò)安全性和冗余的考慮�,現(xiàn)對設(shè)備進(jìn)行failover配置���。整個配置過程內(nèi)容如下:前提條件要實現(xiàn)failover,兩臺設(shè)備需要滿足以下的一些條件:1.相同的設(shè)備型號和硬件配置:設(shè)備模塊�����、接口類型,接口數(shù)量����,CPU,內(nèi)存���,flash閃存等2.相同的軟件版本號�����,此處即指ASA的IOS版本���,IOS版本需要高于7.03.相同的FW模式,必須同為路由模式或者透明模式4.相同的特性集�����,如支持的加密同為DES或
2�、者3DES5.合適的licensing���,兩臺設(shè)備的license符合基本要求���,能支持相同的failover除了以上的幾點之外���,兩臺ASA實現(xiàn)失效轉(zhuǎn)移failover還需要按照情況制作對應(yīng)的failover/stateful心跳線,可以是交叉網(wǎng)線�。經(jīng)過比對兩臺ASA5520的以上相關(guān)信息,發(fā)現(xiàn)目前兩臺ASA防火墻的IOS版本不一致����,ASA-A是“asa804-3-k8.bin,SoftwareVersion8.0(4)3”��,ASA-B是“asa821-k8.bin��,SoftwareVersion8.2(1)”�。通過比對還發(fā)現(xiàn),兩臺ASA支持的Licens
3�����、efeatures雖并不一致��,但事實上���,實現(xiàn)failover不需要licensefeatures完全一致���,只要關(guān)鍵的幾個特性如支持failover類型相同即可��。所以��,此兩臺設(shè)備如果要實現(xiàn)failover���,則必須首先要做的就是使用ASA-B的升級ASA-A的IOS至8.2(1)�,或者將ASA-B的IOS降低至8.0(4)3版本,不推薦使用降級IOS的方式�,所以下面的小節(jié)將給出實現(xiàn)failover前升級ASA-A的IOS具體操作過程(命令腳本)�����。???升級IOS方案此以升級ASA-A的IOS到8.2(1)版本來說明����。降級OS的操作步驟類似����。說明:因為兩臺A
4、SA5520的硬件配置一樣�����,所以8.2(1)版本的IOS是可以支持所有ASA-A的功能及軟硬件配置的。所以����,升級方案是完全兼容現(xiàn)有硬件的�����。?首先�����,將需要把ASA-B的IOS鏡像文件以及ASDM鏡像文件拷出來。1.asa-b(config)#dir//顯示文件目錄2.#copydisk0:/asa821-k8.bintftp:拷貝ASA-B的IOS鏡像到TFTP服務(wù)器3.#copydisk0:/asdm-621.bintftp:拷貝ASA-B的ASDM鏡像到TFTP服務(wù)器?接下來的就是升級過程了1.asa(config)#dir//顯示文件目錄2.cop
5�����、ydisk0:/asa804-3-k8.bintftp://將原有IOS文件備份到TFTP服務(wù)器上3.copydisk0:/asdm-615.bintftp://將原有asdm文件備份到TFTP服務(wù)器上4.copytftp:disk0://將新的IOS文件從TFTP服務(wù)器上拷貝到ASA中���,需要指定TFTP上的鏡像文件名asa821-k8.bin5.copytftp:disk0://將新的ASDM鏡像文件從TFTP服務(wù)器上拷貝到ASA中���,指定ASDM鏡像名asdm-621.bin6.asa(config)#dir//再次顯示目錄�����,檢查文件是否拷貝成功7.
6��、asa(config)#nobootsystemdisk0:/asa804-3-k8.bin//取消原來的啟動文件關(guān)聯(lián)8.asa(config)#dirasa(config)#bootsystemdisk0:/asa821-k8.binasa(config)#asdmimagedisk0:/asdm-621.bin//設(shè)置IOS文件及ASDM文件的關(guān)聯(lián)DeviceManagerimageset,butnotavalidimagefiledisk0:/asdm-603.bin//由于新的IOS文件在重新啟動前并未生效��,所以會提示新的ASDM鏡像在設(shè)置關(guān)聯(lián)
7、的時候會提示無效��。asa(config)#exit9.asa#wr//保存配置10.asa#reload重啟ASA-A,使設(shè)置生效至此��,IOS升級完畢�����,通過showtech查看ASA-A的信息是否與ASA-B一致,如果沒有問題��,就可以進(jìn)行正式的failover配置工作了���。???為ASA配置failover升級完畢IOS后,接下來的就是進(jìn)行failover的配置設(shè)置了�����。考慮到現(xiàn)網(wǎng)的情況�,作為業(yè)務(wù)和互聯(lián)網(wǎng)出口的主要安全設(shè)備是ASA-A��,并且該設(shè)備目前的負(fù)荷不高,完全可以滿足現(xiàn)網(wǎng)需求�,因此����,本方案采用active/standby的failover方式,并且���,
8�、由于理論以及實際環(huán)境的限制,本方案采用LAN-basedfailover模式��。首先�,做配置前需
