Failover Active/Acitive是ASA学习中不可绕过的环节,网络上现有的大量案例都是在路由模式下完成的,鲜有透明模式下的Failover Active/Acitve,所以在GNS3仿真器上,借助于asa8.02多模防火墙qemu镜像,完成了下面的实验。
一、拓扑
图-1 GNS3上的逻辑拓扑
其中上面交换机sw1和sw2中的接口及vlan关系如表-1所示,设备接口和IP地址如表-2所示,
表-1 vlan和接口关系
表-2 设备及IP地址配置
由于Failover配置中要用到虚拟防火墙的概念,所以必须在fw1和fw2上创建虚拟防火墙vfw1和vfw2,划分至各虚拟防火墙中的物理接口如表-3所示:
表-3 虚拟防火墙vfw1和vfw2的接口划分
由于透明模式的防火墙,必须在建立桥接关系的接口之间配置全局管理地址,防火墙才能正常工作,现划分全局管理地址如表-4所示:
表-4 虚拟防火墙及管理地址划分
由于Failover Active/Active运行时,各虚拟防火墙要通过Lan-Base和Stateful连线进行状态监控和状态化列表传递,故必须配置Lan-Base地址和Stateful地址,现划分如表-5所示:
表-5 Lan-Base和Stateful接口划分
二、配置过程
Failover配置时,划分为两个部分,即fw1配置和fw2配置,其中fw2配置很少,主要在fw1上配置。
1.物理防火墙fw1配置:
⑴开启物理接口:
此步特别重要,一定要将所有的物理接口开启,这里就不展示具体开启过程。
⑵配置FO和Stateful链路,用于Failover组互相监控
fw1(config)#failover lan unit primary //注意此外为primary fw1(config)#failover lan interface FO Ethernet0/4 fw1(config)#failover link Stateful Ethernet0/5 fw1(config)#failover interface ip FO 10.10.30.1 255.255.255.0 standby 10.10.30.2 fw1(config)#failover interface ip Stateful 10.10.40.1 255.255.255.0 standby 10.10.40.2
⑶调整failover组监控时间
此步可做可不做,但建议做一下,便于后面测试看的效果更清fw1(config)#failover polltime unit msec 200 holdtime msec 800
⑷配置failover组
Failover组中的primary是一个物理概念,不会因为网络的运行而发生变化。 fw1(config)#failover group 1 fw1(config-fover-group)#primary fw1(config-fover-group)#preempt fw1(config)#failover group 2 fw1(config-fover-group)#secondary fw1(config-fover-group)#preempt
⑸配置管理虚拟墙admin
Admin防火墙用于对物理墙(包括所有虚拟墙)进行管理,必须提前配置,否则后面的虚拟墙无法配置。
fw1(config)#context admin fw1(config-ctx)#config-url flash:/admin.cfg
⑹定义虚拟防火墙
定义虚拟防火墙时,包括分配接口、加入failover组等操作,必须在配置虚拟墙之间完成。
fw1(config)#context vfw1 fw1(config-ctx)#allocate-interface e0/0 fw1(config-ctx)#allocate-interface e0/1 fw1(config-ctx)#join-failover-group 1 fw1(config-ctx)#config-url flash:/vfw1.cfg fw2(config)#context vfw1 fw2(config-ctx)#allocate-interface e0/2 fw2(config-ctx)#allocate-interface e0/3 fw2(config-ctx)#join-failover-group 2 fw2(config-ctx)#config-url flash:/vfw2.cfg
⑺配置虚拟防火墙
前面一步完成了对虚拟墙的定义,但并未配置虚拟墙的功能,这里完成配置。
①配置虚拟防火墙vfw1
fw1(config)#changeto context vfw1 vfw1(config-if)#interface e0/0 vfw1(config-if)#nameif outside vfw1(config-if)#security-level 0 vfw1(config-if)#mac-address 1.a.1 standby 1.a.2 #可以不配,但建议配上,可避免意外问题。 vfw1(config-if)#interface e0/1 vfw1(config-if)#nameif inside vfw1(config-if)#security-level 100 vfw1(config-if)#mac-address 1.b.1 standby 1.b.2 #可以不配,但建议配上,可避免意外问题。 vfw1(config)#ip address 10.10.10.100 255.255.255.0 standby 10.10.10.110 vfw1(config-if)#access-list OUT permit icmp any any echo-reply vfw1(config-if)#access-list OUT permit icmp any any time-exceeded vfw1(config-if)#access-list OUT permit icmp any any unreachable vfw1(config-if)#access-group OUT in interface outside vfw1(config-if)#policy-map global_policy vfw1(config-pmap)#class inspection_default vfw1(config-pmap-c)#inspect icmp
②配置虚拟防火墙vfw2
fw1(config)#changeto context vfw2 vfw2(config-if)#interface e0/2 vfw2(config-if)#nameif outside vfw2(config-if)#security-level 0 vfw2(config-if)#mac-address 2.a.1 standby 2.a.2 #可以不配,但建议配上,可避免意外问题。 vfw2(config-if)#interface e0/3 vfw2(config-if)#nameif inside vfw2(config-if)#security-level 100 vfw2(config-if)#mac-address 1.b.1 standby 1.b.2 #可以不配,但建议配上,可避免意外问题。 Vfw2(config)#ip address 10.10.20.100 255.255.255.0 standby 10.10.20.110 vfw2(config-if)#access-list OUT permit icmp any any echo-reply vfw2(config-if)#access-list OUT permit icmp any any time-exceeded vfw2(config-if)#access-list OUT permit icmp any any unreachable vfw2(config-if)#access-group OUT in interface outside vfw2(config-if)#policy-map global_policy vfw2(config-pmap)#class inspection_default vfw2(config-pmap-c)#inspect icmp
此时物理防火墙fw1配置完成,只剩下启动failover,但由于物理防火墙上的配置尚未进行,故暂时不启用。
⒉物理防火墙fw2配置:
⑴开启物理接口
此步物别重要,一定要将所有的物理接口开启,这里就不展示具体开启过程。
⑵配置FO和Stateful链路,用于Failover组互相监控
fw1(config)#failover lan unit secondary //注意此处为secondary fw1(config)#failover lan interface FO Ethernet0/4 fw1(config)#failover link Stateful Ethernet0/5 fw1(config)#failover interface ip FO 10.10.30.1 255.255.255.0 standby 10.10.30.2 fw1(config)#failover interface ip Stateful 10.10.40.1 255.255.255.0 standby 10.10.40.2
由于物理防火墙会自动从failover lan 中的主设备自动传递配置,故仅只配上面两步即可,其它的不用去配置,不要画蛇添足。
⒊开启failover功能
⑴物理防火墙fw1上开启failover
fw1(config)#failover
⑵物理防火墙fw2上开启failover
fw2(config)#failover
4.修改提示符
由于failover active/active配置后,两台物理防火墙会自动同步配置,会导致物理防火墙fw2上的提示符和物理防火墙fw1是一模一样的,不便于查看,故必须在fw1上修改提示符。
fw1(config)#prompt hostname priority state fw1/pri/stby(config)#
其中上面的hostname代表物理防火墙的名称,priority代表物理墙在failover组中是primary设备还是secondary设备,而state代表墙是active状态,还是standby状态,从上面的提示符中可看到此时,物理防火墙fw1此时primary设备,并处于stby状态。
三、查看和测试:
⒈初次启动后调整状态:
当在两台物理防火墙fw1和fw2上启动failover后,利用命令show failover看到的状态是不正常的,笔者曾在gns3上完成多次实现,都发现这个现象,还以为是没有配置成功,其实是初次启动后存在的问题,必须进行调整。
图-2 fw1上显示的failover组状态
在初次启动failover后,常常发现从物理防火墙fw1上看到的failover组状态,出现两个active,而正常时,常如图-2所示的一个active和一个standby状态,许多初学者会以为自己配置不正确引发的,处理方法是在物理防火墙fw1和fw2上保存配置,然后关闭并重启fw1和fw2,等再次启动后,常会正常,如果还不正常,则采用关闭监控链路的方法调整。
⒉正常状态下测试:
当fw1和fw2上的failover active/active配置成功后,无论是在fw1还是fw2上查看到的正常信息如图-3、图-4所示:
图-3 fw1上看到的正常的failover信息
图-4 fw2上看到的正常的failover信息
分别从PC10、PC20上通过无状态方式和有状态方式访问r1上的1.1.1.1/24,可看到正常的信息如图-5、图-6所示:
图-5 fw1上通过无状态和有状态方式访问r1
图-6 fw2上通过无状态和有状态方式访问r1
正常时PC10通过fw1上的vfw1访问r1,而PC20通过fw2上的vfw2访问r1。
⒊模拟上行链路故障的切换
在实际中,有可能sw1(e0/0)和vfw1(e0/0)之间的链路发生故障,而failover active/active会发生切换,并且PC10上的有状态连接不会中断,现人为关闭sw1上的接口e0/0,模拟链路故障的现象,特别注意,一定不能从fw1的e0/0上进行关闭。
图-7 人为关掉sw1上的e0/0
稍等一会,则fw1上的vfw1会发生切换,即fw1上的状态全为standby/standby,而fw2上的状态为active/active,
图-8 fw1上的failover状态
图-9 fw2上的failover状态
接着查看PC10上的状态化连接和无状态化连接的情况
图-10 PC10上出现的切换影响
可以看到PC10上的状态连接,根本不会出现断开的现象,而无状态连接,出现丢包5个,又自动连接,说明切换非常好,对客户来说,根本不会因为切换,导致状态化连接的断开,满足会话要求。
4.模拟上行链路故障排除的切换
可以开启sw1的e0/0接口,模拟vfw1和sw1之间的链路故障排除的现象,
图-11 sw1上排除故障,开启接口
接着查看fw1和fw2上的failover状态,
图-12 fw1上查看到的failover状态信息
图-13 fw2上看到的failover状态信息
可以看到,fw1处于active/standby状态,而fw2处于standby/active状态,即处于负载均衡的状态。
5.模拟下行链路故障的切换
在fw2上将sw2和vfw2之间的链路断开,即关闭fw2上的e1/3接口,查看failover的切换,
图-14 人为关闭sw2上的e1/3接口
查看fw1和fw2上的failover状态信息,
图-15 fw1上的failover信息
图-16 fw2上的failover信息
可以看到fw1处于active/active状态,而fw2处于standby/failed状态,即完成了自动切换。接着查看PC20上的状态化连接和无状态化连接,
图-17 PC20上的状态化连接和无状态化连接
可以看到PC20上的状态化会话一直处于连接状态,满足了需要。
6.模拟下行链路故障恢复
打开sw2的e1/3接口,模拟故障排除,链路恢复,
图-18 sw2上打开e1/3接口
查看fw1和fw2上的failover状态信息,
图-19 fw1上的failover信息
图-20 fw2上的failover信息
可以看到此时fw1处于active/standby状态,而fw2处于standby/active状态,即failover状态切换正常。最后强调一点,为什么采用asa8.02的qemu镜像来做该实验,由于asa8.02的镜像占用内存很小,仅需256mb,6个物理接口可以同时使用,启动快的优点,在物理机内存不是很充足的情况下,用来完成实验,是比较好的选择。
。
