思科ASA防火墙HA配置之易入误区(适用于ASA新手)

已于 2023-10-15 23:53:59 修改
阅读量1.2k 收藏 6
点赞数 2
分类专栏: 笔记 文章标签: 网络
于 2022-11-18 14:48:37 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ly__001/article/details/127921139
版权

在一开始做配置的时候,找了几个博客,按着操作后发现是错误的,主备ASA之间一直探测不到对方,显示 No Active Mate Detected,浪费了挺多时间的。

一、踩坑阐述

主要是犯了两个错误。
其一,是先入为主,误认为ASA的failover热备份与交换机的hsrp主备配置相似,就给主备都配了个虚拟ip,错误如下:
(g0/2是两个ASA的互联口)
ASA1(config-if):ip add 10.4.0.1 255.255.255.0 standby 10.4.0.3
ASA2(config-if):ip add 10.4.0.2 255.255.255.0 standby 10.4.0.3
在这里插入图片描述

(上面是错的,千万不要学我)
其二,在错误一基础上更改后,发现还是错了,明明照着别人的命令敲了,还是错的,把模拟器两台asa都咔掉重新配置一遍也还是不行。结果,发现还是配置错了,错误如下:
ASA1 ip配置是 .1 standby .2
ASA2 ip配置是 .2 standby .1
(就是这个点,找到的几个博客写的是错的,一个小小的细节花了我挺多时间。。。盯)

实际上,正确的配置应该是主备都是 .1 standby .2 ,failover会在主ASA失效后转移到备ASA上来使用,此时在备ASA使用的才是 .2 的地址。意思上是与hsrp相似,但实际配置上可以理解为,主ip和备ip我们都在主ASA上配置好了,而备ASA会通过failover的互联来同步主ASA的配置,所以主备ASA配置都是一样的,区别就是其主备优先级不同而已。

二、failover正确配置

主Active设备ASA1:

ASA1(config)#interface g0/0
ASA1(config-if)#nameif intranet
ASA1(config-if)#security-level 30 
ASA1(config-if)#ip add 10.4.0.1 255.255.255.0 standby 10.4.0.2 
ASA1(config-if)#no sh
ASA1(config-if)#exit
ASA1(config)#interface g0/1
ASA1(config-if)#nameif extranet
ASA1(config-if)#security-level 10
ASA1(config-if)#ip add 10.4.1.1 255.255.255.0 standby 10.4.1.2
ASA1(config-if)#no sh
ASA1(config-if)#exit
ASA1(config)#interface g0/2  //互联口
ASA1(config-if)#no sh
ASA1(config-if)#exit
ASA1(config)#failover lan unit primary  //指定该设备的角色为主防火墙
ASA1(config)#failover lan int failover g0/2   //指定主备设备 互联接口 并命名(若有多个都需指定)
ASA1(config)#failover link statelink g0/2      //指定状态信息 同步接口 并命名
ASA1(config)#failover int ip fa 1.1.1.1 255.255.255.0 standby 1.1.1.2  //互联口ip配置
ASA1(config)#failover key cisco 
HQ-ASA1(config)#failover  (一定要先在主设备上开启,否则备上开启,且已连接互连线,则主设备配置会被覆盖)

备Standby设备ASA2:
(可以只配互联口的,其他的配置在开启failover后会同步)

ASA2(config)#interface g0/2
ASA2(config-if)#no sh
ASA2(config-if)#exit
ASA2(config)#failover lan unit secondary  //指定该设备的角色为备防火墙
ASA1(config)#failover lan int failover g0/2 
ASA1(config)#failover link statelink g0/2    
ASA1(config)#failover int ip fa 1.1.1.1 255.255.255.0 standby 1.1.1.2  //注意不要配错,否则主备之间探测不到
ASA1(config)#failover key cisco 
HQ-ASA1(config)#failover
Zero__001
关注
  • 2
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
在CISCO的防火墙ASA配置HA
weixin_52934345的博客
09-17 4072
实验环境 在ASAv10和ASAv11上配置HA gi0/1为inside进口,gi0/2为outside出口,gi0/0为两台ASA的互联接口。 实验目的:使得两台防火墙互为主备,平时只有一台工作,另一台作为热备在线。等主防火墙故障后,备防火墙直接切换为主防火墙继续提供服务。 首先配置第一台ASA即主Active设备 HQ-ASA1# configure t HQ-ASA1(config)#interface gi 0/2 HQ-ASA1(config-if)#nameif ou...
思科ASA防火墙HA部署
01-02
ASA防火墙HA脚本,有很多同学都在问,我直接分享出来吧!
最新防火墙配置高可用HA_cisco asa failover配置(1),2024年最新腾讯面试算法题
最新发布
2401_83946509的博客
05-12 456
本书是获得了很多读者好评的Linux经典畅销书**《Linux从入门到精通》的第2版**。本书第﹖版以最新的Ubuntu 12.04为版本,循序渐进地向读者介绍了Linux 的基础应用、系统管理、网络应用、娱乐和办公、程序开发、服务器配置、系统安全等。另外,本书还为读者提供了大量的Linux学习资料和Ubuntu安装镜像文件,供读者免费下载。需要《Linux入门到精通》、《linux系统移植》、《Linux驱动开发入门实战》、《Linux开源网络全栈》电子书籍及教程的工程师朋友们劳烦您转发+评论。
ASA防火墙
Pespi_Co1a的博客
01-03 6376
一、防火墙的四种类型 无状态包过滤(statless packet)---ACL 状态监控包过滤(stateful packet) 运用层监控和控制的状态包过滤(stateful packet filtering with application inspection and control) 代理服务器(proxy server)   #无状态包过滤 特性:(1)依赖于静态的策略来允...
ASA5520 HA配置.txt
09-27
ASA5520-1: ciscoasa> en Password: ciscoasa# conf t ciscoasa(config)# hostname ASA5520 ASA5520(config)# int g0/0 ASA5520(config-if)# nameif outside INFO: Security level for "outside" set to 0 by default. ASA5520(config-if)# no shut ASA5520(config-if)# ip add 100.1.1.1 255.255.255.0 ASA5520(config-if)# int g0/1 ASA5520(config-if)# nameif inside INFO: Security level for "inside" set to 100 by default.
ASA防火墙基本操作
qq_55707182的博客
02-25 5445
默认情况下: 1、抵达ASA防火墙的所有流量被放行 2、ASA防火墙发起的所有流量被放行 3、高安全级别低安全级别的流量被放行 4、低安全级别到高安全级别的所有流量被拒绝 1、配置安全级别,默认inside的安全级别为100,其他都为0 2、防火墙配置静态路由,开销为60 3、R1配置默认路由 4、R2配置默认路由 5、根据ASA防火墙默认规则,高安全级别到低安全级别流量被放行,但此时PC0缺无法访问PC1,原因是防火墙没有监控ICMP流量 6、 ..
Cisco_ASA5505防火墙详细配置教程及实际配置案例.pdf
09-29
Cisco_ASA5505防火墙详细配置教程及实际配置案例.pdf 内容为PDF格式书籍文件,内容高清 ,有问题欢迎随时站内私信联系,拒绝差评,谢谢!
思科ASA 9.14防火墙配置文档
04-29
Cisco ASA Series Firewall CLI Configuration Guide, 9.14 思科2019年4月最新发布文档,用于思科ASA 9.14防火墙特性命令行配置,共464页。
ASA防火墙配置命令5512,5515,5525,5545.rar
09-03
ASA防火墙配置命令5512,5515,5525,5545.rar
思科ASA防火墙镜像文件 asa843
02-10
希望可以帮助到各位!
ASA防火墙配置
01-17
思科 ASA 系列防火墙配置指南。本指南旨在帮助您使用命令行界面 配置思科 ASA 系列的防火墙功能。本指南仅介绍最常见的一 些配置场景,并未涵盖所有功能。 通过使用自适应安全设备管理器 (ASDM) 这个基于网络的 GUI 应用,您也可以配置和监控 ASA。 ASDM 提供配置向导指导您完成一些常见配置场景,并提供联机帮助以使您获得不常见场景的 信息。
ASA防火墙详细教程(特别版)
07-03
ASA防火墙详细教程(特别版),非常不错的教程,讲的非常详细。内附视频下载地址。
cisco asa 双机主备实例
07-23
cisco asa 简单双机主备实例 对初学者了解cisco asa双机有一定的帮助。
Cisco ASA防火墙——远程控制与多安全区域
yj11290301的博客
12-02 2508
本章将会讲解思科防火墙的远程接入方式与DMZ配置。在讲解之前可以先回顾一下Cisco ASA基础——安全算法与基本配置
防火墙系列---思科防火墙 ASA
zhaotiannuo_1998的博客
06-23 2463
2019/6/20 - - - 此文章是关于介绍如何搭建思科防火墙ASA环境。 借助的模拟软件是EVE,有关EVE模拟器的介绍使用,点击此处–> 《EVE模拟器的使用》 链接:https://pan.baidu.com/s/1rlzLTKkOexz_jezVf5IoIA 提取码:z1sr ...
思科防火墙解析(ASA)
一起努力共同进步,为了未来一起奋斗吧!
11-20 2369
思科防火墙ASA)原理解析
防火墙配置高可用HA
weixin_42494218的博客
11-15 566
两台思科 FPR1120-ASA-K9 设备可以通过配置 Active/Standby Failover 来实现高可用。
asa 5500 HA 说明
weixin_34297300的博客
03-05 467
1.ASA5510 + Security Plus License ! ASA系列对高可用性的支持情况 答: ASA5505 基本许可不支持HA,通过Security Plus license.可以支持stateless Active/Standby and redundant ISP ASA5510 基本许可不支持HA,通过Security Plus lice...
Cisco ASA防火墙配置详解:图文实例与步骤
本文档详细介绍了如何配置Cisco ASA防火墙的步骤,针对的是Cisco ASA 5540和5520型号。首先,连接防火墙并使用Console线登录,初始特权密码为空。接着,进入接口配置模式,配置内部接口(如g0/0和g0/1)及其IP地址,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值