【干货】思科ASA防火墙上配置透明模式的Failover Active/Acitve

简介: 【干货】思科ASA防火墙上配置透明模式的Failover Active/Acitve

Failover Active/Acitive是ASA学习中不可绕过的环节,网络上现有的大量案例都是在路由模式下完成的,鲜有透明模式下的Failover Active/Acitve,所以在GNS3仿真器上,借助于asa8.02多模防火墙qemu镜像,完成了下面的实验。


一、拓扑

640.png

图-1 GNS3上的逻辑拓扑

其中上面交换机sw1和sw2中的接口及vlan关系如表-1所示,设备接口和IP地址如表-2所示,

表-1 vlan和接口关系

640.jpg

表-2 设备及IP地址配置

640.png

由于Failover配置中要用到虚拟防火墙的概念,所以必须在fw1和fw2上创建虚拟防火墙vfw1和vfw2,划分至各虚拟防火墙中的物理接口如表-3所示:

表-3 虚拟防火墙vfw1和vfw2的接口划分

640.png

由于透明模式的防火墙,必须在建立桥接关系的接口之间配置全局管理地址,防火墙才能正常工作,现划分全局管理地址如表-4所示:

表-4 虚拟防火墙及管理地址划分

640.png

由于Failover Active/Active运行时,各虚拟防火墙要通过Lan-Base和Stateful连线进行状态监控和状态化列表传递,故必须配置Lan-Base地址和Stateful地址,现划分如表-5所示:

表-5 Lan-Base和Stateful接口划分

640.png


二、配置过程


Failover配置时,划分为两个部分,即fw1配置和fw2配置,其中fw2配置很少,主要在fw1上配置。


1.物理防火墙fw1配置:


⑴开启物理接口:


此步特别重要,一定要将所有的物理接口开启,这里就不展示具体开启过程。

⑵配置FO和Stateful链路,用于Failover组互相监控

fw1(config)#failover lan unit primary    //注意此外为primary
fw1(config)#failover lan interface FO Ethernet0/4
fw1(config)#failover link Stateful Ethernet0/5
fw1(config)#failover interface ip FO 10.10.30.1 255.255.255.0 standby 10.10.30.2
fw1(config)#failover interface ip Stateful 10.10.40.1 255.255.255.0 standby 10.10.40.2

⑶调整failover组监控时间


此步可做可不做,但建议做一下,便于后面测试看的效果更清fw1(config)#failover polltime unit msec 200 holdtime msec 800

⑷配置failover组

Failover组中的primary是一个物理概念,不会因为网络的运行而发生变化。
fw1(config)#failover group 1
fw1(config-fover-group)#primary
fw1(config-fover-group)#preempt
fw1(config)#failover group 2
fw1(config-fover-group)#secondary
fw1(config-fover-group)#preempt

⑸配置管理虚拟墙admin

Admin防火墙用于对物理墙(包括所有虚拟墙)进行管理,必须提前配置,否则后面的虚拟墙无法配置。

fw1(config)#context admin
fw1(config-ctx)#config-url flash:/admin.cfg

⑹定义虚拟防火墙

定义虚拟防火墙时,包括分配接口、加入failover组等操作,必须在配置虚拟墙之间完成。

fw1(config)#context vfw1
fw1(config-ctx)#allocate-interface e0/0
fw1(config-ctx)#allocate-interface e0/1
fw1(config-ctx)#join-failover-group 1
fw1(config-ctx)#config-url flash:/vfw1.cfg
fw2(config)#context vfw1
fw2(config-ctx)#allocate-interface e0/2
fw2(config-ctx)#allocate-interface e0/3
fw2(config-ctx)#join-failover-group 2
fw2(config-ctx)#config-url flash:/vfw2.cfg

⑺配置虚拟防火墙

前面一步完成了对虚拟墙的定义,但并未配置虚拟墙的功能,这里完成配置。

①配置虚拟防火墙vfw1

fw1(config)#changeto context vfw1
vfw1(config-if)#interface e0/0
vfw1(config-if)#nameif outside
vfw1(config-if)#security-level 0
vfw1(config-if)#mac-address 1.a.1 standby 1.a.2   #可以不配,但建议配上,可避免意外问题。
vfw1(config-if)#interface e0/1
vfw1(config-if)#nameif inside
vfw1(config-if)#security-level 100
vfw1(config-if)#mac-address 1.b.1 standby 1.b.2   #可以不配,但建议配上,可避免意外问题。
vfw1(config)#ip address 10.10.10.100 255.255.255.0 standby 10.10.10.110
vfw1(config-if)#access-list OUT permit icmp any any echo-reply
vfw1(config-if)#access-list OUT permit icmp any any time-exceeded
vfw1(config-if)#access-list OUT permit icmp any any unreachable
vfw1(config-if)#access-group OUT in interface outside
vfw1(config-if)#policy-map global_policy
vfw1(config-pmap)#class inspection_default
vfw1(config-pmap-c)#inspect icmp

②配置虚拟防火墙vfw2

fw1(config)#changeto context vfw2
vfw2(config-if)#interface e0/2
vfw2(config-if)#nameif outside
vfw2(config-if)#security-level 0
vfw2(config-if)#mac-address 2.a.1 standby 2.a.2   #可以不配,但建议配上,可避免意外问题。
vfw2(config-if)#interface e0/3
vfw2(config-if)#nameif inside
vfw2(config-if)#security-level 100
vfw2(config-if)#mac-address 1.b.1 standby 1.b.2   #可以不配,但建议配上,可避免意外问题。
Vfw2(config)#ip address 10.10.20.100 255.255.255.0 standby 10.10.20.110
vfw2(config-if)#access-list OUT permit icmp any any echo-reply
vfw2(config-if)#access-list OUT permit icmp any any time-exceeded
vfw2(config-if)#access-list OUT permit icmp any any unreachable
vfw2(config-if)#access-group OUT in interface outside
vfw2(config-if)#policy-map global_policy
vfw2(config-pmap)#class inspection_default
vfw2(config-pmap-c)#inspect icmp

此时物理防火墙fw1配置完成,只剩下启动failover,但由于物理防火墙上的配置尚未进行,故暂时不启用。


⒉物理防火墙fw2配置:


⑴开启物理接口

此步物别重要,一定要将所有的物理接口开启,这里就不展示具体开启过程。

⑵配置FO和Stateful链路,用于Failover组互相监控

fw1(config)#failover lan unit secondary     //注意此处为secondary
fw1(config)#failover lan interface FO Ethernet0/4
fw1(config)#failover link Stateful Ethernet0/5
fw1(config)#failover interface ip FO 10.10.30.1 255.255.255.0 standby 10.10.30.2
fw1(config)#failover interface ip Stateful 10.10.40.1 255.255.255.0 standby 10.10.40.2


由于物理防火墙会自动从failover lan 中的主设备自动传递配置,故仅只配上面两步即可,其它的不用去配置,不要画蛇添足。

⒊开启failover功能

⑴物理防火墙fw1上开启failover


fw1(config)#failover

⑵物理防火墙fw2上开启failover


fw2(config)#failover


4.修改提示符


由于failover active/active配置后,两台物理防火墙会自动同步配置,会导致物理防火墙fw2上的提示符和物理防火墙fw1是一模一样的,不便于查看,故必须在fw1上修改提示符。

fw1(config)#prompt hostname priority state
fw1/pri/stby(config)#


其中上面的hostname代表物理防火墙的名称,priority代表物理墙在failover组中是primary设备还是secondary设备,而state代表墙是active状态,还是standby状态,从上面的提示符中可看到此时,物理防火墙fw1此时primary设备,并处于stby状态。


三、查看和测试:


⒈初次启动后调整状态


当在两台物理防火墙fw1和fw2上启动failover后,利用命令show failover看到的状态是不正常的,笔者曾在gns3上完成多次实现,都发现这个现象,还以为是没有配置成功,其实是初次启动后存在的问题,必须进行调整。


640.png


图-2 fw1上显示的failover组状态


在初次启动failover后,常常发现从物理防火墙fw1上看到的failover组状态,出现两个active,而正常时,常如图-2所示的一个active和一个standby状态,许多初学者会以为自己配置不正确引发的,处理方法是在物理防火墙fw1和fw2上保存配置,然后关闭并重启fw1和fw2,等再次启动后,常会正常,如果还不正常,则采用关闭监控链路的方法调整。


⒉正常状态下测试:


当fw1和fw2上的failover active/active配置成功后,无论是在fw1还是fw2上查看到的正常信息如图-3、图-4所示:

640.png

图-3 fw1上看到的正常的failover信息

640.png


图-4 fw2上看到的正常的failover信息


分别从PC10、PC20上通过无状态方式和有状态方式访问r1上的1.1.1.1/24,可看到正常的信息如图-5、图-6所示:


640.png

图-5 fw1上通过无状态和有状态方式访问r1

640.png

图-6 fw2上通过无状态和有状态方式访问r1


正常时PC10通过fw1上的vfw1访问r1,而PC20通过fw2上的vfw2访问r1。


⒊模拟上行链路故障的切换


在实际中,有可能sw1(e0/0)和vfw1(e0/0)之间的链路发生故障,而failover active/active会发生切换,并且PC10上的有状态连接不会中断,现人为关闭sw1上的接口e0/0,模拟链路故障的现象,特别注意,一定不能从fw1的e0/0上进行关闭。

640.png

图-7 人为关掉sw1上的e0/0

稍等一会,则fw1上的vfw1会发生切换,即fw1上的状态全为standby/standby,而fw2上的状态为active/active,

640.png


图-8 fw1上的failover状态

640.png

图-9 fw2上的failover状态

接着查看PC10上的状态化连接和无状态化连接的情况

640.png

图-10 PC10上出现的切换影响

可以看到PC10上的状态连接,根本不会出现断开的现象,而无状态连接,出现丢包5个,又自动连接,说明切换非常好,对客户来说,根本不会因为切换,导致状态化连接的断开,满足会话要求。


4.模拟上行链路故障排除的切换


可以开启sw1的e0/0接口,模拟vfw1和sw1之间的链路故障排除的现象,

640.png

图-11 sw1上排除故障,开启接口

接着查看fw1和fw2上的failover状态,

640.png

图-12 fw1上查看到的failover状态信息

640.png

图-13 fw2上看到的failover状态信息

可以看到,fw1处于active/standby状态,而fw2处于standby/active状态,即处于负载均衡的状态。


5.模拟下行链路故障的切换


在fw2上将sw2和vfw2之间的链路断开,即关闭fw2上的e1/3接口,查看failover的切换,

640.png

图-14 人为关闭sw2上的e1/3接口

查看fw1和fw2上的failover状态信息,

640.png

图-15 fw1上的failover信息

640.png

图-16 fw2上的failover信息

可以看到fw1处于active/active状态,而fw2处于standby/failed状态,即完成了自动切换。接着查看PC20上的状态化连接和无状态化连接,


640.png

图-17 PC20上的状态化连接和无状态化连接

可以看到PC20上的状态化会话一直处于连接状态,满足了需要。


6.模拟下行链路故障恢复


打开sw2的e1/3接口,模拟故障排除,链路恢复,

640.png

图-18 sw2上打开e1/3接口

查看fw1和fw2上的failover状态信息,

640.png

图-19 fw1上的failover信息

640.png

图-20 fw2上的failover信息

可以看到此时fw1处于active/standby状态,而fw2处于standby/active状态,即failover状态切换正常。最后强调一点,为什么采用asa8.02的qemu镜像来做该实验,由于asa8.02的镜像占用内存很小,仅需256mb,6个物理接口可以同时使用,启动快的优点,在物理机内存不是很充足的情况下,用来完成实验,是比较好的选择。



相关文章
|
25天前
|
网络安全 数据中心
百度搜索:蓝易云【Proxmox软件防火墙的配置教程】
现在,你已经完成了Proxmox软件防火墙的配置。请确保你的防火墙规则设置正确,以保护你的Proxmox VE环境免受未经授权的访问和网络攻击。
71 5
|
4月前
|
开发框架 网络协议 Ubuntu
【Linux】配置网络和firewall防火墙(超详细介绍+实战)
【Linux】配置网络和firewall防火墙(超详细介绍+实战)
876 0
|
7月前
|
网络协议 Linux 网络安全
Centos7 防火墙配置+端口设置
Centos7 防火墙配置+端口设置
146 0
Centos7 防火墙配置+端口设置
|
1月前
|
网络协议 Shell Linux
系统初始化shell,包括:挂载镜像、搭建yum、设置主机名及IP地址和主机名映射、配置动态IP、关闭防火墙和selinux
系统初始化shell,包括:挂载镜像、搭建yum、设置主机名及IP地址和主机名映射、配置动态IP、关闭防火墙和selinux
21 2
|
3月前
|
网络协议 Linux 网络安全
suse 12 配置ip,dns,网关,hostname,ssh以及关闭防火墙
suse 12 配置ip,dns,网关,hostname,ssh以及关闭防火墙
83 0
|
5月前
|
网络协议 Linux 网络安全
百度搜索:蓝易云【Linux 防火墙配置(iptables和firewalld)详细教程。】
以上只是一些常见的iptables和firewalld命令示例,你可以根据自己的需求进行修改和扩展。请注意,在配置防火墙时务必小心,确保不会阻塞你所需要的合法流量,并确保保存和加载配置以使其永久生效。另外,建议在配置防火墙之前备份现有的防火墙规则以防止意外情况发生。
565 2
|
5月前
|
安全 网络安全 网络虚拟化
有配置云防火墙,那么防火墙自然无法发挥其防护功能
有配置云防火墙,那么防火墙自然无法发挥其防护功能
39 2
|
5月前
|
网络协议 安全 Linux
如何在 CentOS 8 上安装和配置配置服务器防火墙 (CSF)?
如何在 CentOS 8 上安装和配置配置服务器防火墙 (CSF)?
134 0
如何在 CentOS 8 上安装和配置配置服务器防火墙 (CSF)?
|
6月前
|
运维 Shell 网络安全
【运维知识进阶篇】iptables防火墙详解(iptables执行过程+表与链概述+iptables命令参数+配置filter表规则+NAT表实现共享上网、端口转发、IP映射)(三)
【运维知识进阶篇】iptables防火墙详解(iptables执行过程+表与链概述+iptables命令参数+配置filter表规则+NAT表实现共享上网、端口转发、IP映射)(三)
773 0
|
6月前
|
运维 网络协议 网络安全
【运维知识进阶篇】iptables防火墙详解(iptables执行过程+表与链概述+iptables命令参数+配置filter表规则+NAT表实现共享上网、端口转发、IP映射)(二)
【运维知识进阶篇】iptables防火墙详解(iptables执行过程+表与链概述+iptables命令参数+配置filter表规则+NAT表实现共享上网、端口转发、IP映射)(二)
120 0

相关产品

  • 云迁移中心