在思科ASA上部署Failover实例演示-上

中继者分享：在思科ASA上部署Failover实例演示-上

Part 1 - Failover简介
一. 什么是Failover
    Failover特性是Cisco安全产品高可用性的一个解决方案，目的是为了提供不间断的服务，当主设备down掉的时候，备用设备能够马上接管主设备的工作，进而保持通信的连通性。
二. 部署Failover的必要条件
在部署Failover时，要求两台防火墙的以下信息完全一致：
硬件条件：设备型号、接口数量和类型、SSM模块、内存；
软件条件：运行模式（透明模式或路由模式）、系统主次版本号；
授权信息：Lincense；
三. Failover的部署方案
在部署Failover时，有两种部署方式：
第一种：Active-Standby（A/S）模式
当使用A/S模式时，两台物理防火墙中，一台（Active设备）对外提供服务，转发流量；另外一台（Standby设备）作为备份。当Active设备宕机后，Standby设备开始接管流量转发。
第二种：Active-Active（A/A）模式
当使用A/A模式时，两台防火墙可以同时工作，同时转发流量，再实现高可靠性的同时，还可以提供流量负载。
failover部署方案图示：


Part 2 - Active-Standby模式的工作原理
注：Actvie-Actvie的部署方式将在下一篇文章中给大家详细介绍！
一. 角色定义
      配置层面：Primary和Secondary角色
一台防火墙被配置成Primary角色，另外一台防火墙被配置成Secondary角色；
       逻辑层面：Active和Standby状态
被配置成Primary角色的设备，会被选举成为Active，从而处理流量的转发；被配置成为Secondary角色的设备，会被选举成为Standby，从而做为备份设备；
二. 管理接口
    在部署Failover时，除了正常的业务接口以外，还需要定义两个特殊的接口来管理Failover的运行。
LAN-Based Failover link：该接口用来检测Failover的运行状态，并且进行配置信息的同步，使用独立的接口来充当；
Stateful Failover Link：该接口用来同步状态化信息，即Active设备会将当前流量的连接信息（例如，TCP连接）或者是一些表项同步给Standby设备，使得Standby设备在切换到Active后，能更快的进行数据转发，思科推荐使用独立接口来充当；
    管理接口的图示如下：
E0/2接口为LAN-Based Failover link；
E0/3接口为Stateful Failover Link；
 
三. Failover的选举过程
    当两台防火墙被配置成Primary或者Secondary角色后，它们会通过LAN-Based Failover link进行Active和Standby状态的选举，具体过程如下：
当两台防火墙都能正常启动时，Primary角色的设备会被选择成Active，Secondary角色的设备会被选择成Standby；
当两台防火墙只有一台能正常启动，则能正常启动的设备被选择为Active，不管它是Primary设备还是Secondary设备；
如果防火墙能正常启动，但是已检测到有Active状态的设备存在，则启动后被选择成Standby状态；
如果防火墙启动后，被选择成为Active，但是又检测到另外一台设备也是Active，则进行重新选举；
四. 邻居设备的健康状态监控
    参与Failover的两台防火墙，彼此会通过LAN-Based Failover link接口和Monitired interface（默认除了管理口外的其它接口都属于Monitired interface）发送Hello报文，来检测健康状态。
    健康状态的检测原则为：
如果能从LAN-Based Failover link接口周期性收到Hello报文，则邻居状态健康，不需要进行切换；
如果不能从LAN-Based Failover link接口收到Hello报文，但是可以从Monitired interface收到Hello报文，也被认为邻居状态健康，不需要进行切换；
如果既不能从LAN-Based Failover link接口收到Hello报文，也不能从Monitired interface收到Hello报文，则被认为是Fail状态，这时就需要进行切换；