【干货】思科ASA防火墙上配置透明模式的Failover Active/Acitve

本文涉及的产品
云防火墙,500元 1000GB
简介: 【干货】思科ASA防火墙上配置透明模式的Failover Active/Acitve

Failover Active/Acitive是ASA学习中不可绕过的环节,网络上现有的大量案例都是在路由模式下完成的,鲜有透明模式下的Failover Active/Acitve,所以在GNS3仿真器上,借助于asa8.02多模防火墙qemu镜像,完成了下面的实验。


一、拓扑

640.png

图-1 GNS3上的逻辑拓扑

其中上面交换机sw1和sw2中的接口及vlan关系如表-1所示,设备接口和IP地址如表-2所示,

表-1 vlan和接口关系

640.jpg

表-2 设备及IP地址配置

640.png

由于Failover配置中要用到虚拟防火墙的概念,所以必须在fw1和fw2上创建虚拟防火墙vfw1和vfw2,划分至各虚拟防火墙中的物理接口如表-3所示:

表-3 虚拟防火墙vfw1和vfw2的接口划分

640.png

由于透明模式的防火墙,必须在建立桥接关系的接口之间配置全局管理地址,防火墙才能正常工作,现划分全局管理地址如表-4所示:

表-4 虚拟防火墙及管理地址划分

640.png

由于Failover Active/Active运行时,各虚拟防火墙要通过Lan-Base和Stateful连线进行状态监控和状态化列表传递,故必须配置Lan-Base地址和Stateful地址,现划分如表-5所示:

表-5 Lan-Base和Stateful接口划分

640.png


二、配置过程


Failover配置时,划分为两个部分,即fw1配置和fw2配置,其中fw2配置很少,主要在fw1上配置。


1.物理防火墙fw1配置:


⑴开启物理接口:


此步特别重要,一定要将所有的物理接口开启,这里就不展示具体开启过程。

⑵配置FO和Stateful链路,用于Failover组互相监控

fw1(config)#failover lan unit primary    //注意此外为primary
fw1(config)#failover lan interface FO Ethernet0/4
fw1(config)#failover link Stateful Ethernet0/5
fw1(config)#failover interface ip FO 10.10.30.1 255.255.255.0 standby 10.10.30.2
fw1(config)#failover interface ip Stateful 10.10.40.1 255.255.255.0 standby 10.10.40.2

⑶调整failover组监控时间


此步可做可不做,但建议做一下,便于后面测试看的效果更清fw1(config)#failover polltime unit msec 200 holdtime msec 800

⑷配置failover组

Failover组中的primary是一个物理概念,不会因为网络的运行而发生变化。
fw1(config)#failover group 1
fw1(config-fover-group)#primary
fw1(config-fover-group)#preempt
fw1(config)#failover group 2
fw1(config-fover-group)#secondary
fw1(config-fover-group)#preempt

⑸配置管理虚拟墙admin

Admin防火墙用于对物理墙(包括所有虚拟墙)进行管理,必须提前配置,否则后面的虚拟墙无法配置。

fw1(config)#context admin
fw1(config-ctx)#config-url flash:/admin.cfg

⑹定义虚拟防火墙

定义虚拟防火墙时,包括分配接口、加入failover组等操作,必须在配置虚拟墙之间完成。

fw1(config)#context vfw1
fw1(config-ctx)#allocate-interface e0/0
fw1(config-ctx)#allocate-interface e0/1
fw1(config-ctx)#join-failover-group 1
fw1(config-ctx)#config-url flash:/vfw1.cfg
fw2(config)#context vfw1
fw2(config-ctx)#allocate-interface e0/2
fw2(config-ctx)#allocate-interface e0/3
fw2(config-ctx)#join-failover-group 2
fw2(config-ctx)#config-url flash:/vfw2.cfg

⑺配置虚拟防火墙

前面一步完成了对虚拟墙的定义,但并未配置虚拟墙的功能,这里完成配置。

①配置虚拟防火墙vfw1

fw1(config)#changeto context vfw1
vfw1(config-if)#interface e0/0
vfw1(config-if)#nameif outside
vfw1(config-if)#security-level 0
vfw1(config-if)#mac-address 1.a.1 standby 1.a.2   #可以不配,但建议配上,可避免意外问题。
vfw1(config-if)#interface e0/1
vfw1(config-if)#nameif inside
vfw1(config-if)#security-level 100
vfw1(config-if)#mac-address 1.b.1 standby 1.b.2   #可以不配,但建议配上,可避免意外问题。
vfw1(config)#ip address 10.10.10.100 255.255.255.0 standby 10.10.10.110
vfw1(config-if)#access-list OUT permit icmp any any echo-reply
vfw1(config-if)#access-list OUT permit icmp any any time-exceeded
vfw1(config-if)#access-list OUT permit icmp any any unreachable
vfw1(config-if)#access-group OUT in interface outside
vfw1(config-if)#policy-map global_policy
vfw1(config-pmap)#class inspection_default
vfw1(config-pmap-c)#inspect icmp

②配置虚拟防火墙vfw2

fw1(config)#changeto context vfw2
vfw2(config-if)#interface e0/2
vfw2(config-if)#nameif outside
vfw2(config-if)#security-level 0
vfw2(config-if)#mac-address 2.a.1 standby 2.a.2   #可以不配,但建议配上,可避免意外问题。
vfw2(config-if)#interface e0/3
vfw2(config-if)#nameif inside
vfw2(config-if)#security-level 100
vfw2(config-if)#mac-address 1.b.1 standby 1.b.2   #可以不配,但建议配上,可避免意外问题。
Vfw2(config)#ip address 10.10.20.100 255.255.255.0 standby 10.10.20.110
vfw2(config-if)#access-list OUT permit icmp any any echo-reply
vfw2(config-if)#access-list OUT permit icmp any any time-exceeded
vfw2(config-if)#access-list OUT permit icmp any any unreachable
vfw2(config-if)#access-group OUT in interface outside
vfw2(config-if)#policy-map global_policy
vfw2(config-pmap)#class inspection_default
vfw2(config-pmap-c)#inspect icmp

此时物理防火墙fw1配置完成,只剩下启动failover,但由于物理防火墙上的配置尚未进行,故暂时不启用。


⒉物理防火墙fw2配置:


⑴开启物理接口

此步物别重要,一定要将所有的物理接口开启,这里就不展示具体开启过程。

⑵配置FO和Stateful链路,用于Failover组互相监控

fw1(config)#failover lan unit secondary     //注意此处为secondary
fw1(config)#failover lan interface FO Ethernet0/4
fw1(config)#failover link Stateful Ethernet0/5
fw1(config)#failover interface ip FO 10.10.30.1 255.255.255.0 standby 10.10.30.2
fw1(config)#failover interface ip Stateful 10.10.40.1 255.255.255.0 standby 10.10.40.2


由于物理防火墙会自动从failover lan 中的主设备自动传递配置,故仅只配上面两步即可,其它的不用去配置,不要画蛇添足。

⒊开启failover功能

⑴物理防火墙fw1上开启failover


fw1(config)#failover

⑵物理防火墙fw2上开启failover


fw2(config)#failover


4.修改提示符


由于failover active/active配置后,两台物理防火墙会自动同步配置,会导致物理防火墙fw2上的提示符和物理防火墙fw1是一模一样的,不便于查看,故必须在fw1上修改提示符。

fw1(config)#prompt hostname priority state
fw1/pri/stby(config)#


其中上面的hostname代表物理防火墙的名称,priority代表物理墙在failover组中是primary设备还是secondary设备,而state代表墙是active状态,还是standby状态,从上面的提示符中可看到此时,物理防火墙fw1此时primary设备,并处于stby状态。


三、查看和测试:


⒈初次启动后调整状态


当在两台物理防火墙fw1和fw2上启动failover后,利用命令show failover看到的状态是不正常的,笔者曾在gns3上完成多次实现,都发现这个现象,还以为是没有配置成功,其实是初次启动后存在的问题,必须进行调整。


640.png


图-2 fw1上显示的failover组状态


在初次启动failover后,常常发现从物理防火墙fw1上看到的failover组状态,出现两个active,而正常时,常如图-2所示的一个active和一个standby状态,许多初学者会以为自己配置不正确引发的,处理方法是在物理防火墙fw1和fw2上保存配置,然后关闭并重启fw1和fw2,等再次启动后,常会正常,如果还不正常,则采用关闭监控链路的方法调整。


⒉正常状态下测试:


当fw1和fw2上的failover active/active配置成功后,无论是在fw1还是fw2上查看到的正常信息如图-3、图-4所示:

640.png

图-3 fw1上看到的正常的failover信息

640.png


图-4 fw2上看到的正常的failover信息


分别从PC10、PC20上通过无状态方式和有状态方式访问r1上的1.1.1.1/24,可看到正常的信息如图-5、图-6所示:


640.png

图-5 fw1上通过无状态和有状态方式访问r1

640.png

图-6 fw2上通过无状态和有状态方式访问r1


正常时PC10通过fw1上的vfw1访问r1,而PC20通过fw2上的vfw2访问r1。


⒊模拟上行链路故障的切换


在实际中,有可能sw1(e0/0)和vfw1(e0/0)之间的链路发生故障,而failover active/active会发生切换,并且PC10上的有状态连接不会中断,现人为关闭sw1上的接口e0/0,模拟链路故障的现象,特别注意,一定不能从fw1的e0/0上进行关闭。

640.png

图-7 人为关掉sw1上的e0/0

稍等一会,则fw1上的vfw1会发生切换,即fw1上的状态全为standby/standby,而fw2上的状态为active/active,

640.png


图-8 fw1上的failover状态

640.png

图-9 fw2上的failover状态

接着查看PC10上的状态化连接和无状态化连接的情况

640.png

图-10 PC10上出现的切换影响

可以看到PC10上的状态连接,根本不会出现断开的现象,而无状态连接,出现丢包5个,又自动连接,说明切换非常好,对客户来说,根本不会因为切换,导致状态化连接的断开,满足会话要求。


4.模拟上行链路故障排除的切换


可以开启sw1的e0/0接口,模拟vfw1和sw1之间的链路故障排除的现象,

640.png

图-11 sw1上排除故障,开启接口

接着查看fw1和fw2上的failover状态,

640.png

图-12 fw1上查看到的failover状态信息

640.png

图-13 fw2上看到的failover状态信息

可以看到,fw1处于active/standby状态,而fw2处于standby/active状态,即处于负载均衡的状态。


5.模拟下行链路故障的切换


在fw2上将sw2和vfw2之间的链路断开,即关闭fw2上的e1/3接口,查看failover的切换,

640.png

图-14 人为关闭sw2上的e1/3接口

查看fw1和fw2上的failover状态信息,

640.png

图-15 fw1上的failover信息

640.png

图-16 fw2上的failover信息

可以看到fw1处于active/active状态,而fw2处于standby/failed状态,即完成了自动切换。接着查看PC20上的状态化连接和无状态化连接,


640.png

图-17 PC20上的状态化连接和无状态化连接

可以看到PC20上的状态化会话一直处于连接状态,满足了需要。


6.模拟下行链路故障恢复


打开sw2的e1/3接口,模拟故障排除,链路恢复,

640.png

图-18 sw2上打开e1/3接口

查看fw1和fw2上的failover状态信息,

640.png

图-19 fw1上的failover信息

640.png

图-20 fw2上的failover信息

可以看到此时fw1处于active/standby状态,而fw2处于standby/active状态,即failover状态切换正常。最后强调一点,为什么采用asa8.02的qemu镜像来做该实验,由于asa8.02的镜像占用内存很小,仅需256mb,6个物理接口可以同时使用,启动快的优点,在物理机内存不是很充足的情况下,用来完成实验,是比较好的选择。



相关文章
|
7月前
|
网络协议 安全 Linux
linux配置防火墙 Centos7下 添加 端口白名单
linux配置防火墙 Centos7下 添加 端口白名单
1010 0
|
2月前
|
网络协议 Ubuntu 网络安全
|
3月前
|
运维 监控 安全
网络管理:防火墙和安全组配置详解
网络管理:防火墙和安全组配置详解
83 1
|
5月前
|
监控 安全 网络安全
|
4月前
|
监控 安全 网络安全
防火墙配置与管理技巧深度解析
【8月更文挑战第19天】防火墙的配置与管理是网络安全工作的重中之重。通过明确安全策略、精细的访问控制、日志与监控、更新与维护等配置技巧,以及权限管理、自动化与集成、应急响应计划等管理技巧,可以显著提升防火墙的安全防护能力。然而,网络安全是一个持续的过程,需要不断学习和适应新的威胁和挑战。因此,建议网络安全从业人员保持对新技术和新威胁的关注,不断提升自己的专业技能和应对能力。
|
4月前
|
安全 网络安全 数据安全/隐私保护
手把手教你用eNSP模拟器配置防火墙源NAT
手把手教你用eNSP模拟器配置防火墙源NAT
421 4
|
4月前
|
网络安全
如何用HCL模拟器配置防火墙IRF?
如何用HCL模拟器配置防火墙IRF?
125 2
|
4月前
|
网络协议 Ubuntu 安全
在Ubuntu上安装和配置配置服务器防火墙(CSF)的方法
在Ubuntu上安装和配置配置服务器防火墙(CSF)的方法
51 1
|
4月前
|
安全 网络安全 数据处理
防火墙设置难倒你?这两种组网模式轻松解决网络安全难题!
【8月更文挑战第23天】在网络安全日益重要的今天,防火墙作为关键防护设备扮演着重要角色。本文重点分析两种核心组网模式:三层路由网关模式与二层透明网桥模式。前者通过IP层处理实现内外网隔离及丰富的策略配置,增强安全性;后者以MAC地址转发,部署简便,不影响现有网络结构,适合服务不可中断的情况。通过企业升级安全防护的实际案例,展示了不同模式的应用场景及优势,并提供了三层路由网关模式的配置示例。正确选择和配置防火墙组网模式对于提高网络安全性和保证业务连续性至关重要。
87 0
|
4月前
|
安全 Linux 测试技术
在Linux中,如何配置防火墙和安全规则?
在Linux中,如何配置防火墙和安全规则?