中继者分享:在思科ASA上部署Failover实例演示-上
Part 1 - Failover简介
一. 什么是Failover
Failover特性是Cisco安全产品高可用性的一个解决方案,目的是为了提供不间断的服务,当主设备down掉的时候,备用设备能够马上接管主设备的工作,进而保持通信的连通性。
二. 部署Failover的必要条件
在部署Failover时,要求两台防火墙的以下信息完全一致:
硬件条件:设备型号、接口数量和类型、SSM模块、内存;
软件条件:运行模式(透明模式或路由模式)、系统主次版本号;
授权信息:Lincense;
三. Failover的部署方案
在部署Failover时,有两种部署方式:
第一种:Active-Standby(A/S)模式
当使用A/S模式时,两台物理防火墙中,一台(Active设备)对外提供服务,转发流量;另外一台(Standby设备)作为备份。当Active设备宕机后,Standby设备开始接管流量转发。
第二种:Active-Active(A/A)模式
当使用A/A模式时,两台防火墙可以同时工作,同时转发流量,再实现高可靠性的同时,还可以提供流量负载。
failover部署方案图示:
Part 2 - Active-Standby模式的工作原理
注:Actvie-Actvie的部署方式将在下一篇文章中给大家详细介绍!
一. 角色定义
配置层面:Primary和Secondary角色
一台防火墙被配置成Primary角色,另外一台防火墙被配置成Secondary角色;
逻辑层面:Active和Standby状态
被配置成Primary角色的设备,会被选举成为Active,从而处理流量的转发;被配置成为Secondary角色的设备,会被选举成为Standby,从而做为备份设备;
二. 管理接口
在部署Failover时,除了正常的业务接口以外,还需要定义两个特殊的接口来管理Failover的运行。
LAN-Based Failover link:该接口用来检测Failover的运行状态,并且进行配置信息的同步,使用独立的接口来充当;
Stateful Failover Link:该接口用来同步状态化信息,即Active设备会将当前流量的连接信息(例如,TCP连接)或者是一些表项同步给Standby设备,使得Standby设备在切换到Active后,能更快的进行数据转发,思科推荐使用独立接口来充当;
管理接口的图示如下:
E0/2接口为LAN-Based Failover link;
E0/3接口为Stateful Failover Link;
三. Failover的选举过程
当两台防火墙被配置成Primary或者Secondary角色后,它们会通过LAN-Based Failover link进行Active和Standby状态的选举,具体过程如下:
当两台防火墙都能正常启动时,Primary角色的设备会被选择成Active,Secondary角色的设备会被选择成Standby;
当两台防火墙只有一台能正常启动,则能正常启动的设备被选择为Active,不管它是Primary设备还是Secondary设备;
如果防火墙能正常启动,但是已检测到有Active状态的设备存在,则启动后被选择成Standby状态;
如果防火墙启动后,被选择成为Active,但是又检测到另外一台设备也是Active,则进行重新选举;
四. 邻居设备的健康状态监控
参与Failover的两台防火墙,彼此会通过LAN-Based Failover link接口和Monitired interface(默认除了管理口外的其它接口都属于Monitired interface)发送Hello报文,来检测健康状态。
健康状态的检测原则为:
如果能从LAN-Based Failover link接口周期性收到Hello报文,则邻居状态健康,不需要进行切换;
如果不能从LAN-Based Failover link接口收到Hello报文,但是可以从Monitired interface收到Hello报文,也被认为邻居状态健康,不需要进行切换;
如果既不能从LAN-Based Failover link接口收到Hello报文,也不能从Monitired interface收到Hello报文,则被认为是Fail状态,这时就需要进行切换;
五. 状态信
在思科ASA上部署Failover实例演示-上
最新推荐文章于 2023-11-15 11:57:58 发布