利用Failover技术可实现防火墙的冗余,提高可用性。

  实施了Failover的两台防火墙存在主备关系,工作时,对其他上下行设备来说,就可视为一台防火墙。

  在active上可进行正常的配置运转与操作,standby只是作为备份来存在,standby上不能进行任何形式的配置操作。

  当作为active的防火墙出现局部端口故障乃至全局故障时,standby会自动进行切换。

  邻接设备要有两条连线分别连接两台防火墙上,若是三层设备,建议中间嫁接一个功能较为强大的交换机来互连。

 

配置举例:

两台asa5520做冗余,上接一台NAT路由器。

Activeasa5520 Config:

interface GigabitEthernet0/0

 nameif outside

 security-level 0

 ip address 192.168.2.1 255.255.255.248 standby 192.168.2.2 

!

interface GigabitEthernet0/1

 description LAN Failover Interface

!

failover

failover lan unit primary

failover lan interface LAN_FailoverGigabitEthernet0/1

failover interface ip LAN_Failover 10.1.1.1255.255.255.0 standby 10.1.1.2

 

Standbyasa5520 Config:

interface GigabitEthernet0/0

 nameif outside

 security-level 0

 ip address 192.168.2.2 255.255.255.248 

!

interface GigabitEthernet0/1

 description LAN Failover Interface

!

failover

failover lan unit standby

failover lan interface LAN_FailoverGigabitEthernet0/1

failover interface ip LAN_Failover 10.1.1.1255.255.255.0 standby 10.1.1.2(此命令和active完全相同)

 

注意:active上可做些其他的必要配置,但是在standby上只需要配置failover和相关冗余端口外,不需要做其他任何额外的配置了,active出了问题,standby会自动将active上的状态完全承接过来,不要多此一举。

 

 

 

  欢迎来群一起交流:166684620