Cisco 实现failover配置

renyanping

　　ASA5520作为内外网安全设备及互联网出口，现网还有一台ASA5520也放置于出口，但
　　两台设备没有形成HA，并没有配置failover。出于提升网络安全性和冗余的考虑，现
　　对设备进行failover配置。 整个配置过程内容如下： 前提条件 要实现failover，两
　　台设备需要满足以下的一些条件：
　　1.相同的设备型号和硬件配置：设备模块、接口类型，接口数量，CPU，内存，flash
　　闪存等
　　2.相同的软件版本号，此处即指ASA的IOS版本，IOS版本需要高于7.0
　　3.相同的FW模式，必须同为路由模式或者透明模式
　　4.相同的特性集，如支持的加密同为DES或者3DES
　　5.合适的licensing，两台设备的license符合基本要求，能支持相同的failover
　　除了以上的几点之外，两台ASA实现失效转移failover还需要按照情况制作对应的
　　failover/stateful心跳线，可以是交叉网线。 经过比对两台ASA5520的以上相关信息
　　，发现目前两台ASA防火墙的IOS版本不一致，ASA-A是“asa804-3-k8.bin，Software
　　Version 8.0(4)3”，ASA-B是“asa821-k8.bin，Software Version 8.2(1)”。通过
　　比对还发现，两台ASA支持的License features虽并不一致，但事实上，实现failover
　　不需要license features完全一致，只要关键的几个特性如支持failover类型相同即
　　可。所以，此两台设备如果要实现failover，则必须首先要做的就是使用ASA-B的升级
　　ASA-A的IOS至8.2(1)，或者将ASA-B的IOS降低至8.0（4）3版本，不推荐使用降级IOS
　　的方式，所以下面的小节将给出实现failover前升级ASA-A的IOS具体操作过程（命令
　　脚本）。
　　升级IOS方案 以升级ASA-A的IOS到8.2(1)版本来说明。降级OS的操作步骤类似。
　　说明：因为两台ASA5520的硬件配置一样，所以8.2(1)版本的IOS是可以支持所有ASA-A
　　的功能及软硬件配置的。所以，升级方案是完全兼容现有硬件的。   首先，将需要把
　　ASA-B的IOS镜像文件以及ASDM镜像文件拷出来。
　　1.asa-b(config)#dir //显示文件目录
　　2.#copy disk0:/asa821-k8.bin tftp: 拷贝ASA-B的IOS镜像到TFTP服务器
　　3.#copy disk0:/asdm-621.bin tftp: 拷贝ASA-B的ASDM镜像到TFTP服务器
　　接下来的就是升级过程了
　　1.asa(config)# dir       //显示文件目录
　　2.copy disk0:/asa804-3-k8.bin tftp:       //将原有IOS文件备份到TFTP服务器上
　　3.copy disk0:/asdm-615.bin tftp:         //将原有asdm文件备份到TFTP服务器上
　　4.copy tftp: disk0:        //将新的IOS文件从TFTP服务器上拷贝到ASA中，需要指
　　定TFTP上的镜像文件名asa821-k8.bin
　　5.copy tftp: disk0:         //将新的ASDM镜像文件从TFTP服务器上拷贝到ASA中，
　　指定ASDM镜像名asdm-621.bin
　　6.asa(config)# dir            //再次显示目录，检查文件是否拷贝成功
　　7.asa(config)# no boot system disk0:/asa804-3-k8.bin
　　//取消原来的启动文件关联
　　8.asa(config)# dir
　　asa(config)# boot system disk0:/asa821-k8.bin
　　asa(config)# asdm image disk0:/asdm-621.bin
　　//设置IOS文件及ASDM文件的关联 Device Manager image set, but not a valid
　　image file disk0:/asdm-603.bin //由于新的IOS文件在重新启动前并未生效，所以
　　会提示新的ASDM镜像在设置关联的时候会提示无效。 asa(config)# exit
　　9.asa# wr                          //保存配置

　　10.asa#>　　重启ASA-A，使设置生效     至此，IOS升级完毕，通过show tech查看ASA-A的信
　　息是否与ASA-B一致，如果没有问题，就可以进行正式的failover配置工作了。
　　为ASA配置failover 升级完毕IOS后，接下来的就是进行failover的配置设置了。 考
　　虑到现网的情况，作为业务和互联网出口的主要安全设备是ASA-A，并且该设备目前的
　　负荷不高，完全可以满足现网需求，因此，本方案采用active/standby的failover方
　　式，并且，由于理论以及实际环境的限制，本方案采用LAN-based failover模式。然
　　后，两台ASA5520断电，断电时使用普通交叉网线连接两台ASA5520设备的以太网口，
　　然后开启active（primary）设备。     注意：作为secondary的ASA-B此时不能加电
　　此时不能加电。同时，若确定ASA-B不用承载任何业务和安全检测功能，可以考虑事先
　　将其配置备份（ASA-B#copy run tftp:），然后再清空ASA-B的配置后执行failover配
　　置。 接下来是配置primary（active）设备ASA-A，ASA-A的其他设置可以不用修改。
　　1.  ASA-A(config)# interface GigabitEthernet0/3
　　ASA-A(config-if)# no shut
　　2.  ASA-A(config)# failover lan interface LANFAIL GigabitEthernet0/3
　　3.  ASA-A(config)# failover interface ip LANFAIL 172.17.1.1 255.255.255.0
　　standby 172.17.1.7 //根据实际情况设置IP信息
　　4.  ASA-A(config)# failover lan unit primary //设置设备ASA-A为primary
　　5.  ASA-A(config)# failover key 1234567 //配置failover的共享密钥
　　6.  ASA-A(config)# failover //enable failover
　　7.  ASA-A(config)# failover link LANFAIL //配置全状态stateful下failover
　　8.  ASA-A#wr //保存配置到flash 再接下来，加电启动ASA-B，配置secondary的ASA
　　-B为standby。
　　9.  ASA-B(config)# interface GigabitEthernet0/3
　　ASA-B(config-if)# no shut
　　10. ASA-B(config)# failover lan interface LANFAIL GigabitEthernet0/3
　　11. ASA-B(config)# failover interface ip LANFAIL 172.17.1.1 255.255.255.0
　　standby 172.17.1.7 //根据实际情况设置IP信息，primary和secondary一样
　　12. ASA-B(config)# failover lan unit secondary //设置设备ASA-B为 secondary
　　13. ASA-B(config)# failover key 1234567 //配置failover的共享密钥
　　14. ASA-B(config)# failover //enable failover
　　15. ASA-B#wr //保存配置到flash 由于实际环境中，接口物理MAC地址不能保证100%
　　可用，所以High Available的配置通常还要加配虚拟MAC地址。
　　16. ASA-A(config)# failover mac address GigabitEthernet0/0 xxxx.xxxx.xxxx
　　xxxx.xxxx.xxxx
　　ASA-A(config)# failover mac address GigabitEthernet0/1 xxxx.xxxx.xxxx
　　xxxx.xxxx.xxxx   最后，配置完毕后，ASA-A向ASA-B复制配置，这个过程通常需要几
　　分钟时间。 这个过程是可监督的，可以在ASA-B上使用如下方式查看。
　　ASA-B# show failover
　　Failover On
　　Failover unit Secondary Failover LAN Interface: LANFAIL GigabitEthernet0/3
　　(up) Unit Poll frequency 500 milliseconds, holdtime 6 seconds Interface
　　Poll frequency 600 milliseconds, holdtime 15 seconds Interface Policy 1
　　Monitored Interfaces 3 of 250 maximum Version: Ours 7.2(1), Mate 7.2(1)
　　Output ommit…… 有以上的输出，表明配置就同步了。 至此，整个的failover就算
　　完成了