测试原因:

    之前公司使用CheckPoint防火强,由于新的DC机房规划将由CP转向ASA,为保证HA性能方面的差异,进行测试。

测试拓扑: 

测试项目:

在ASA HA配置为A/S状态进行测试:

1:单FTP client 在A/S模式下 pooltime为系统默认情况下使用windows ftp client访问server

2:单FTP client在A/S下,polltime更改,使用Windows ftp client访问server

3:双或者多个FTPclient在A/S下,polltime更改下使用windows ftp client访问server

测试过程:(asa版本8.21)

1:配置ftp client地址,网关指向ASA outside;

2:配置ftp server地址,网关指向asa inside;

3:配置asa策略在Inside,ouside permit any any,permit icmp;

4:配置ASA HA模式为AS(配置步骤见我的blog),polltime为默认

     polltime:类似于hello包,用于通信,保活。

     polltime 后面可对interface和unit 进行poll,同时可以设定holdtime时间进行切换

命令:failover polltime interface sec(poll间隔) holdtime sec(poll时间的至少3倍)

            failover polltime unit sec(poll间隔) holdtime sec(poll时间的至少3倍)

5:windows ftp client开启方法:ftp://IP,bin,[hash],mget *.*

 

测试结果:

  1:在单个client下,采用系统默认的polltime时间(interface:3,15 unit:5,15),采用   

       windows ftp client在拔出单台ASA线,形成HA切换,FTP会继续传输数据。

  2:在关闭设备或者reload单台设备,采用默认polltime时间,发现将不会继续传输

  3:修改2中的polltime时间为(interface:2,10,unit:2.10,或者interface: 2,10, unit:2,8),继续

       上面2的操作,发现是可以继续传输的;

  4:在client下同时开启2个ftp client,poll时间按3进行设定,重复3的动作,发现当切

      换后会话会进行续传;

 5:关闭防火墙police-map gloab_policy 中的inspect ftp,重复4的动作发现2个会话都会

     进行传输,但之后做又不能,默认是不建议关闭检测的。

 6:升级ASAIOS(升级方法可看我的blog)从8.2.1->8.2.5->8.3进行如上测试,结果与上

      面是一致的

7: 给cisco开Case,得到的解释是调整unit的polltime及holdtime,调整后果然已号,更改后的配置:

failover
failover lan unit primary

failover lan interface Failover [interface]

failover polltime unit msec 330 holdtime 1----cisco给出的建议polltime还要小
failover polltime interface 2 holdtime 10
failover key *****
failover link Stateful [接口]
failover interface ip Failover [IP] [Mask] standby [IP]
failover interface ip Stateful [IP] [Mask] standby [IP]