防火墙高可靠性技术-Cisco Failover Active-Active(A/A)
Part 1-前言
通过上篇文章《ASA上部署Failover实例演示》中的介绍,想必大家对Cisco Failover技术已经有一定了解,并且可以完成Failover A/S模式的部署了,但是大家有没有想过一个问题,Failover A/S 模式中,我们两台ASA设备,一台Active,转发流量,一台Standby,做备份。这样部署,Standby设备如果在未发生故障切换的情况下就处于闲置状态。
那么,有没有一种部署方式,能让Standby设备也利用起来,转发流量?答案是“肯定有”,本文将为大家介绍Failover A/A技术是如何实现高可靠性,并且达到设备充分利用
Part 2 -Failover A/A介绍
一. 什么是Failover A/A
Failover A/A只能应用在多模式(multiple context)防火墙中。在一个Failover A/A 配置中,两个ASA能够同时工作且传输网络流量。
在Failover A/A配置中可以把context划分到failover group,一个failover group中包含一个或多个context,最多可以创建两个failover group,默认的admin context永远属于Group 1,没有分配的context默认也属于failover group1
一个物理ASA只会在一个failover group中成为Active
[图片上传失败...(image-a128b1-1547886743103)]
注:如图1所示,Failover Group 1中子防火墙Context A和 Context C为Active,Context B为Standby,Failover Group 2中子防火墙Context A和 Context C为Standby,Context B为Active。
二. License要求
ASA必须开启Multiple模式
| 设备型号 | License要求 |
|---|---|
| ASA 5505 | 不支持 |
| ASA 5510 | Security Plus License |
| 其他 | Base License |
三. Failover A/A中Active context(子防火墙)角色选举
- 当两台设备都为健康状态
- 当从FO接口检测到一个正在协商的设备,本地Failover Group配置的Primary设备将成为Active;
- 当从FO接口检测到一个设备在两个Failover Group中都是Active,此设备在两个Failover Group中都将变为Standby
- 当从FO接口未检测到设备,此设备在两个Failover Group中都为Active
- 当只有一台设备为健康状态
- 健康的设备在两个Failover Group中均为Active
四. Failover A/A故障切换
- Failover 发生在设备或context层面上
- 当一个物理设备中的Active成员出现故障,另外一台物理设备中相同Failover Group的Standby成员将成为Active。
- 切换过程中Primary/Secondary身份不变
- 切换后,IP和MAC在组成员之间交换。(同A/S模式,可参考“ASA上部署Failover实例演示”篇)
[图片上传失败...(image-8617ca-1547886743103)]
注:当Failover Group 1中子防火墙Context A和Context C故障,这时候会在Failover Group 2中把Context A和 Context C切换成Active。
五. Failover A/A链路类型
- LAN-Based Failover link:检测每个单元的运行状态并同步配置信息,使用独立接口充当。
- Stateful Failover Link:同步状态化信息到Standby设备,可与其他接口共享,Cisco推荐使用单独接口
[图片上传失败...(image-3854e0-1547886743103)]
Part 3 - 实验
一. 实验拓扑
[图片上传失败...(image-9ee342-1547886743103)]
二. 实验需求
在ASA1与ASA2间部署状态化的Failover Active-Active模式,让PC1和PC2可以telnet 到R1上,当ASA1或ASA2中任何一方出现故障,流量自动切换到另一方
三. 设备及IP地址说明
- R1为outside网络,PC1和PC2为inside网络,ASA1和ASA2各自虚拟出2个子防火墙,C1和C2.
- ASA1和ASA2中各自创建Failover Group 1和Failover Group 2,Context C1加入到Failover
Group 1, Context C2加入Failover Group 2
| Failover Group | ASA1 | ASA2 | Context |
|---|---|---|---|
| 1 | Active | Standby | C1 |
| 2 | Standby | Active | C2 |
配置去往inside方向的路由
ip route 192.168.1.0 255.255.255.0 200.100.1.10
ip route 192.168.2.0 255.255.255.0 200.100.2.10
