Cisco ASA Failover Active Standby

Cisco ASA Failover jest przeznaczony do poprawy wysokiej dostępności rozwiązania firewall. ASA
Failover wykorzystuje 2 urządzenia w parze awaryjnej. Failover możemy skonfigurować w dwóch trybach:

• Aktywna praca awaryjna w trybie gotowości
• Aktywny Aktywny Failover

Reguły pracy awaryjnej ASA:

• Maksymalny czas podróży w obie strony między jednostkami wynosi 10 ms
• Każdy interfejs logiczny musi znajdować się w tym samym segmencie L2
• Każdy interfejs logiczny jest adresowany przez IP (aktywny IP i rezerwowy IP)
• Adres IP i MAC (wirtualny) jest zawsze utrzymywany przez aktualnie aktywną jednostkę.
• Gdy nastąpi przełączenie awaryjne, ASA standby przyjmuje aktywny adres IP i MAC i wysyła
• Gratuitous ARP na każdym interfejsie w celu ponownego obliczenia podsieci L2.
• Interfejs Failover jest wymagany i przeznaczony do replikacji konfiguracji i utrzymywania przy życiu puli jednostek.
• Interfejs Stateful jest opcjonalny i przeznaczony do replikacji sesji na żywo pomiędzy

jednostki.

Przełączanie awaryjne ASA – aktywny tryb gotowości

Przełączanie awaryjne Active Standby oznacza, że dwie jednostki pracują w konfiguracji active – standby, w której stan aktywny jest zawsze obecny na jednej z par przełączania awaryjnego. Druga jest w stanie gotowości. Standby ma identyczną konfigurację jak jednostka aktywna i łączy aktywną jednostkę z pakietami utrzymywania przy życiu. Na podstawie zdefiniowanego limitu czasu (5-sekundowy interwał łączenia i 3-krotne powtórzenia, konfigurowalne) sprawdzany jest stan failover. Jeśli warunek failover jest spełniony, jednostka standby staje się aktywna i przejmuje aktywny adres IP i MAC, a IP i MAC jednostki standby trafiają do jednostki standby. Poniżej przedstawiono podstawową konfigurację przełączania awaryjnego.

Jednostka podstawowa:

failover
failover lan unit primary
failover lan interface FAILOVER GigabitEthernet0/6
failover link STATEFULL GigabitEthernet0/7
failover interface ip FAILOVER 192.168.1.1 255.255.255.252 standby 192.168.1.2
failover interface ip STATEFULL 192.168.2.1 255.255.255.252 standby 192.168.2.2

Jednostka dodatkowa:

failover
failover lan unit secondary
failover lan interface FAILOVER GigabitEthernet0/6
failover link STATEFULL GigabitEthernet0/7
failover interface ip FAILOVER 192.168.1.1 255.255.255.252 standby 192.168.1.2
failover interface ip STATEFULL 192.168.2.1 255.255.255.252 standby 192.168.2.2

WSKAZÓWKA: aby włączyć tryb failover, należy użyć polecenia failover na obu urządzeniach.

• Aktywna jednostka jest określana przez te wartości:
• Jeśli urządzenie uruchomi się i wykryje, że urządzenie równorzędne już działa jako aktywne, staje się ono
  jednostką rezerwową.
• Jeśli jednostka uruchomi się i nie wykryje urządzenia równorzędnego, staje się jednostką aktywną.
• Jeśli obie jednostki uruchomią się jednocześnie, jednostka podstawowa stanie się jednostką aktywną,
  a jednostka dodatkowa staje się jednostką rezerwową.