某公司使用一台ASA5520作为内外网安全设备及互联网出口,现网还有一台ASA5520放置于出口,但两台设备没有形成HA,并没有配置failover。出于提升网络安全性和冗余的考虑,现对设备进行failover配置。整个配置过程内容如下:
前提条件
要实现failover,两台设备需要满足以下的一些条件:
1.相同的设备型号和硬件配置:设备模块、接口类型,接口数量,CPU,内存,flash闪存等
2.相同的软件版本号,此处即指ASA的IOS版本,IOS版本需要高于7.0
3.相同的FW模式,必须同为路由模式或者透明模式
4.相同的特性集,如支持的加密同为DES或者3DES
5.合适的licensing,两台设备的license符合基本要求,能支持相同的failover
除了以上的几点之外,两台ASA实现失效转移failover还需要按照情况制作对应的failover/stateful心跳线,可以是交叉网线。
经过比对两台ASA5520的以上相关信息,发现目前两台ASA防火墙的IOS版本不一致,ASA-A是“asa804-3-k8.bin,SoftwareVersion8.0(4)3”,ASA-B是“asa821-k8.bin,SoftwareVersion8.2(1)”。通过比对还发现,两台ASA支持的Licensefeatures虽并不一致,但事实上,实现failover不需要licensefeatures完全一致,只要关键的几个特性如支持failover类型相同即可。所以,此两台设备如果要实现failover,则必须首先要做的就是使用ASA-B的升级ASA-A的IOS至8.2(1),或者将ASA-B的IOS降低至8.0(4)3版本,不推荐使用降级IOS的方式,所以下面的小节将给出实现failover前升级ASA-A的IOS具体操作过程(命令脚本)。