Cấu hình kết nối FailOver trên Firewall Cisco ASA 5500 Series

Tường lửa dòng Firewall Cisco ASA 5500 hỗ trợ khả năng Dual-ISP(failover). Bạn có thể kết nối hai giao diện của tường lửa với hai ISP khác nhau và sử dụng tính năng “SLA Monitor” (SLA = Giám sát mức dịch vụ) để giám sát liên kết đến ISP chính và nếu không thành công, lưu lượng sẽ được chuyển đến ISP dự phòng. Sơ đồ dưới đây cho thấy cách triển khai tính năng Dual-ISP.

​

Giả sử rằng ISP chính (ISP-1) đã gán với địa chỉ IP Public 100.100.100.1 với gateway 100.100.100.2.

Ngoài ra, ISP dự phòng (ISP-2) đã chỉ định IP Public 200.200.200.1 với gateway 200.200.200.2.

Thông thường tất cả lưu lượng phải chạy qua ISP-1, nhưng nếu liên kết vật lý (hoặc tuyến đường) tới ISP đó không thành công, thì lưu lượng sẽ được chuyển hướng đến ISP dự phòng.

Chúng tôi có thể định cấu hình dịch vụ giám sát SLA sẽ kiểm tra 10 giây một lần (sử dụng yêu cầu ping echo) tính khả dụng của địa chỉ IP Gateway chính (100.100.100.2).

FIREWALL-CISCOASA(config)# sla monitor 100
FIREWALL-CISCOASA(config-sla-monitor)# type echo protocol ipIcmpEcho 100.100.100.2 interface outside
FIREWALL-CISCOASA(config-sla-monitor-echo)# timeout 3000
FIREWALL-CISCOASA(config-sla-monitor-echo)# frequency 10
FIREWALL-CISCOASA(config)# sla monitor schedule 100 life forever start-time now
FIREWALL-CISCOASA(config)# track 1 rtr 100 reachability
FIREWALL-CISCOASA(config)# route outside 0.0.0.0 0.0.0.0 100.100.100.2 1 track 1
FIREWALL-CISCOASA(config)# route backup-isp 0.0.0.0 0.0.0.0 200.200.200.2 254

Tất nhiên cấu hình trên giả định rằng bạn đã định cấu hình hai giao diện được kết nối với ISP, giao diện đầu tiên có tên ‘outside’ (cấp độ bảo mật 0) và giao diện thứ hai có tên ‘backup-isp’ (cấp độ bảo mật 1).

Chúc các bạn thành công!