Cấu hình Active/Active Failover trên thiết bị tường lửa Firewall Cisco ASA

Cấu hình chuyển đổi dự phòng Firewall Cisco ASA yêu cầu hai thiết bị bảo mật giống hệt nhau được kết nối với nhau thông qua liên kết chuyển đổi dự phòng chuyên dụng và, tùy chọn, liên kết chuyển đổi dự phòng trạng thái.

Đối với kịch bản dự phòng Cisco ASA, hai thiết bị phải có cùng kiểu máy, phải có cùng số lượng và kiểu giao diện và phải có cùng một giấy phép.

Trong trường hợp cấu hình Active/Active, cả hai Đơn vị đều mang lưu lượng (không giống như Active/Standby, theo đó chỉ đơn vị đang hoạt động mới mang lưu lượng). Để tạo chuyển đổi dự active/active, cần phải định cấu hình cả hai thiết bị ASA ở chế độ Nhiều ngữ cảnh (Multiple context).

Đối với cấu hình active/active, cần tạo các nhóm Dự phòng và Chuyển đổi dự phòng. Sau đó, nhóm chuyển đổi dự phòng được áp dụng cho đơn vị ASA vật lý chính hoặc phụ.

Nhóm Chuyển đổi dự phòng cụ thể được áp dụng cho Ngữ cảnh. Ví dụ: thiết bị chính (primary unit) là ASA đang active của nhóm Failover group1, nhưng thiết bị phụ (Secondary unit) là ASA Standby của nhóm Failover group1. Nếu ASA chính không hoạt động, ASA phụ sẽ trở thành Active của nhóm Failover group1.

Để giải thích chi tiết về cấu hình Active / Active Failover, tham khảo LAB sau.

​

Cấu hình (Configuration)

! Chuyển cả hai thiết bị ASA sang context mode.
asa-tgm(config)#mode multiple

! Khi các ASA được tải lại, hãy kết nối chúng với nhau bằng các cổng Ge0 / 2 và Ge0 / 3.

Cấu hình thiết bị chính (Cisco ASA Primary Unit).

! Kích hoạt chuyển đổi dự phòng mạng LAN.
asa-tgm(config)#failover lan enable

! Chọn đơn vị này làm chính.
asa-tgm(config)#failover lan unit primary

Xác định giao diện chuyển đổi dự phòng và trạng thái. Hai giao diện này có thể là cùng một giao diện vật lý nếu bạn không cần sử dụng thêm một cổng. Trong ví dụ ở đây, sử dụng hai giao diện vật lý riêng biệt.

Trong bài viết này, “failover” (tên giao diện cho GigabitEthernet0 / 2) được sử dụng làm chuyển đổi dự phòng giao diện.

! Xác định giao diện chuyển đổi dự phòng
asa-tgm(config)#failover lan interface failover Ge0/2

! Gán địa chỉ IP trên Giao diện chuyển đổi dự phòng. PHẢI ở trong cùng Mạng con với chế độ chờ trên thiết bị khác.
asa-tgm(config)#failover interface ip failover 192.168.3.1 255.255.255.0 standby 192.168.3.2

Trong tài liệu này, “state” (tên giao diện cho GigabitEthernet0 / 3) được sử dụng làm trạng thái giao diện.

! Xác định giao diện chuyển đổi dự phòng trạng thái
asa-tgm(config)#failover link state Ge0/3

! Gán địa chỉ IP trên giao diện chuyển đổi dự phòng trạng thái
asa-tgm(config)#failover interface ip state 192.168.4.1 255.255.255.0 standby 192.168.4.2

! Tạo các nhóm Chuyển đổi dự phòng, trong đó nhóm Chuyển đổi dự phòng1 sẽ là Thiết bị chính, tức là hoạt động trên Thiết bị chính và nhóm Chuyển đổi dự phòng2 sẽ là Thiết bị dự phòng trên Thiết bị chính. Cũng cấu hình HTTP Replication, sau đó xảy ra sao chép trạng thái HTTP Connection giữa các ASA hoạt động và dự phòng. Đồng thời xác định Độ trễ miễn phí. Preempt Delay có nghĩa là trong thời gian nào để lấy lại vai trò Hoạt động sau khi Khôi phục thất bại.

asa-tgm(config)#failover group 1
asa-tgm(config-fover-group)#primary
asa-tgm(config-fover-group)#preempt 120
asa-tgm(config-fover-group)# replication http

asa-tgm(config)#failover group 2
asa-tgm(config-fover-group)#secondary
asa-tgm(config-fover-group)#preempt 120
asa-tgm(config-fover-group)# replication http

Bây giờ chúng ta hãy bắt đầu tạo các Contexts và gán các giao diện trong mỗi Ngữ cảnh (Context).

! Cấu hình admin context
asa-tgm(config)# admin-context admin
asa-tgm(config)# context admin
asa-tgm(config-ctx)# allocate-interface Management0/0
asa-tgm(config-ctx)# config-url disk0:/admin.cfg

!Cấu hình Sub-interfaces
interface GigabitEthernet0/0.10
vlan 10
interface GigabitEthernet0/0.11
vlan 11
interface GigabitEthernet0/1.20
vlan 20
interface GigabitEthernet0/1.21
vlan 21

! Cấu hình contexts
asa-tgm(config)# context c1
asa-tgm(config-ctx)# allocate-interface gigabitethernet0/0.10
asa-tgm(config-ctx)# allocate-interface gigabitethernet0/1.20
asa-tgm(config-ctx)# config-url disk0:/c1.cfg

asa-tgm(config)# context c2
asa-tgm(config-ctx)# allocate-interface gigabitethernet0/0.11
asa-tgm(config-ctx)# allocate-interface gigabitethernet0/1.21
asa-tgm(config-ctx)# config-url disk0:/c2.cfg

! Gắn từng ngữ cảnh vào các Nhóm chuyển đổi dự phòng. Không chỉ định các ngữ cảnh cho các nhóm chuyển đổi dự phòng, thì mỗi ngữ cảnh sẽ nằm trong nhóm 1 theo mặc định.
asa-tgm(config)# context c1
asa-tgm(config-ctx)# join-failover-group 1
asa-tgm(config)# context c2
asa-tgm(config-ctx)# join-failover-group 2

!Cấu hình địa chỉ IP trên Context1.
asa#changeto context c1
asa/c1# show running-config interface
!
interface GigabitEthernet0/0.10
nameif outside
security-level 0
ip address 192.168.10.1 255.255.255.0 standby 192.168.10.2
!
interface GigabitEthernet0/1.20
nameif inside
security-level 100
ip address 192.168.20.1 255.255.255.0 standby 192.168.20.2

! Cấu hình địa chỉ IP trên Context2.
asa#changeto context c2
asa/c2# show running-config interface
!
interface GigabitEthernet0/0.11
nameif outside
security-level 0
ip address 192.168.11.1 255.255.255.0 standby 192.168.11.2
!
interface GigabitEthernet0/1.21
nameif inside
security-level 100
ip address 192.168.21.1 255.255.255.0 standby 192.168.21.2
!

Cấu hình trên thiết bị phụ (Firewall ASA Secondary Unit).

! Xác định giao diện chuyển đổi dự phòng
asa-tgm(config)#failover lan interface failover Ge0/2

! Gán địa chỉ IP trên Giao diện chuyển đổi dự phòng. Phải ở cùng Mạng con với đơn vị khác.
asa-tgm(config)#failover interface ip failover 192.168.3.1 255.255.255.0 standby 192.168.3.2

! Kích hoạt chuyển đổi dự phòng mạng LAN.
asa-tgm(config)#failover lan enable

! Chọn đơn vị này là phụ
asa-tgm(config)#failover lan unit secondary

Mọi thứ đã hoàn tất và bây giờ chúng ta hãy bắt đầu kiểm tra.

Lệnh xác minh và khắc phục sự cố:

! xác minh UNIT chính
ASA-TGM# show failover

Failover On
Failover unit Primary
Failover LAN Interface: failover GigabitEthernet0/2 (up)
Unit Poll frequency 1 seconds, holdtime 15 seconds
Interface Poll frequency 5 seconds, holdtime 25 seconds
Interface Policy 1
Monitored Interfaces 4 of 250 maximum
Version: Ours 8.2(1), Mate 8.2(1)
Group 1 last failover at: 05:12:14 tbilisi Dec 7 2010
Group 2 last failover at: 10:13:04 tbilisi Oct 24 2010

This host: Primary
Group 1 State: Active
Active time: 14536379 (sec)
Group 2 State: Standby Ready
Active time: 0 (sec)

slot 0: ASA5520 hw/sw rev (2.0/8.2(1)) status (Up Sys)
c1 Interface outside (192.168.10.1): Normal
c1 Interface inside (192.168.20.1): Normal
c2 Interface outside (192.168.11.1): Normal
c2 Interface inside (192.168.21.1): Normal
slot 1: empty

Other host: Secondary
Group 1 State: Standby Ready
Active time: 1104 (sec)
Group 2 State: Active
Active time: 14537266 (sec)

slot 0: ASA5520 hw/sw rev (2.0/8.2(1)) status (Up Sys)
c1 Interface outside (192.168.10.2): Normal
c1 Interface inside (192.168.20.2): Normal
c2 Interface outside (192.168.11.2): Normal
c2 Interface inside (192.168.22.2): Normal
slot 1: empty

Stateful Failover Logical Update Statistics
Link : state GigabitEthernet0/3.2 (up)
Stateful Obj xmit xerr rcv rerr
General 2405585244 0 75798262 188
sys cmd 1938317 0 1938317 0
up time 0 0 0 0
RPC services 0 0 0 0
TCP conn 1241561564 0 43443406 91
UDP conn 1157379296 0 28582971 84
ARP tbl 3799402 0 1833568 13
Xlate_Timeout 0 0 0 0
SIP Session 906665 0 0 0

Logical Update Queue Information
Cur Max Total
Recv Q: 0 49 90335543
Xmit Q: 0 7 2405585244

! xác minh Secondary unit

ASA-TGM# show failover

Failover On
Failover unit Secondary
Failover LAN Interface: failover GigabitEthernet0/2
Unit Poll frequency 1 seconds, holdtime 15 seconds
Interface Poll frequency 5 seconds, holdtime 25 seconds
Interface Policy 1
Monitored Interfaces 4 of 250 maximum
Version: Ours 8.2(1), Mate 8.2(1)
Group 1 last failover at: 05:12:14 tbilisi Dec 7 2010
Group 2 last failover at: 10:13:03 tbilisi Oct 24 2010

This host: Secondary
Group 1 State: Standby Ready
Active time: 1104 (sec)
Group 2 State: Active
Active time: 14537372 (sec)

slot 0: ASA5540 hw/sw rev (2.0/8.2(1)) status (Up Sys)
c1 Interface outside (192.168.10.2): Normal
c1 Interface inside (192.168.20.2): Normal
c2 Interface outside (192.168.11.2): Normal
c2 Interface inside (192.168.21.2): Normal
slot 1: empty

Other host: Primary
Group 1 State: Active
Active time: 14536486 (sec)
Group 2 State: Standby Ready
Active time: 0 (sec)

slot 0: ASA5520 hw/sw rev (2.0/8.2(1)) status (Up Sys)
c1 Interface outside (192.168.10.1): Normal
c1 Interface inside (192.168.20.1): Normal
c2 Interface outside (192.168.11.1): Normal
c2 Interface inside (192.168.21.1): Normal
slot 1: empty

Stateful Failover Logical Update Statistics
Link : state GigabitEthernet0/3.2 (up)
Stateful Obj xmit xerr rcv rerr
General 111758344 0 1089580597 1046
sys cmd 1938331 0 1938331 0
up time 0 0 0 0
RPC services 0 0 0 0
TCP conn 73801356 0 581933209 113
UDP conn 34185062 0 501003000 886
ARP tbl 1833595 0 3799403 36
Xlate_Timeout 0 0 0 0
SIP Session 0 0 906654 11

Logical Update Queue Information
Cur Max Total
Recv Q: 0 7 1104118240
Xmit Q: 0 1 111758344

Như chúng ta đã quan sát ở trên, hệ thống đang chạy ở chế độ active/active Failover như mong đợi.

Chúc các bạn thành công!