CCIE安全说明:ASA HA说明(9.6.1)

要成为HA对,ASA必须:

  • 相同(型号,接口数量,相同的模块,RAM等)  
  • 通过专用故障转移链接进行连接,并且可以选择具有断开状态链接
  • 具有相同的防火墙模式-路由或透明
  • 具有相同的上下文模式
  • 具有相同的主要和次要软件版本
  • 上面有相同的AnyConnect映像

 

作为一个 支持两种故障转移模式,可以将其部署为有状态或无状态:

  • 主动/主动
    • 两个ASA都通过流量
    • 将安全上下文分为2个故障转移组(这是最大值)。其中一个上下文将在一个上下文上处于活动状态,而另一上下文则处于备用状态,而第二个故障转移组将完全相反。 
    • 故障转移发生在故障转移组级别
    • 仅在多上下文模式下受支持
    • 故障转移组1应始终包含管理上下文
  • 活动/待机
    • 一个单元处于活动状态并且正在通过流量,而另一个单元则没有通过

 

  • Stateful or 无状态 故障转移?
    • 无状态  故障转移-删除所有活动的连接。这可能会对最终用户造成破坏 
    • 有状态故障转移-活动单元始终将连接状态信息传递给备用数据库
      • 通过有状态故障转移,将传递以下状态信息: 
        • NAT转换表
        • TCP连接状态
        • UDP连接状态
        • SCTP连接状态
        • ARP表
        • 第2层桥接表
        • HTTP连接表 
        • HTTP连接状态(如果启用)
        • ISAKMP和IPSec SA表
        • GTP PDP连接数据库
        • SIP信令会话 
        • ICMP连接状态(如果启用)
        • 动态路由协议
        • IP网络电话会议
        • 虚拟专用网  
      • 没有传递什么状态信息: 
        • Uauth表
        • 用户高级TCP状态跟踪的应用程序检查
        • TCP状态旁路连接
        • DHCP客户端
        • DHCP服务器地址租约
        • 组播路由
        • 模块的状态信息
        • 某些无客户端SSL 虚拟专用网 功能:
          • 智能隧道
          • 转发端口
          • 外挂程式
          • Java小程序
          • IPv6无客户端或Anyconnect会话
          • Citrix身份验证

 

故障转移默认值:

  • 没有HTTP复制以实现有状态
  • 单接口故障转移导致故障转移
  • 接口轮询时间为5秒
  • 接口保持时间为25秒
  • 单位轮询时间为1秒 
  • 单位保持时间为15秒
  • 在多上下文模式下禁用虚拟MAC
  • 所有物理接口均受到监控 

 

有效单位取决于:

  • 对等方注意到启动时另一个对等方已经处于活动状态
  • 单位启动,但未检测到同级
  • 如果两者同时启动,则主服务器将变为活动状态,而备用服务器将保持原状
  • 故障转移是基于单位进行的
  • 启用“活动/备用”和“抢占”后,将确保两个ASA引导后正在运行正确的主数据库
  • 使用主动/主动,故障转移可以在故障转移组的基础上进行

 

链接类型 - 

  • 普通接口 
    • 可以配置活动和备用IP和MAC地址 
    • 发生故障转移时,辅助设备可以接管IP地址,并接管备用IP地址和MAC地址。这样一来,流量就可以继续转发,并且ARP条目无需更改 
    • 当MAC地址更改时,ASA不会为状态NAT地址发送免费的APR

 

  • 故障转移链接- 
    • 可以为此配置一个物理链接或端口通道,但当前无法在其上添加名称
    • 不能是共享界面
    • 需要与第2层相邻 
    • 发生故障转移时,此接口上的IP地址和MAC不会更改 
    • 与对等体进行以下通信:
      • 状态-处于活动状态还是待机状态
      • 你好消息/ keepalives
      • 网络链接状态
      • MAC地址
      • 配置复制和同步 

 

  • 状态链接
    • 这是一个可选链接,您必须对其进行配置 
    • 可以与故障转移链接共享该信息以节省接口
    • 可以使用物理接口或端口通道以及故障转移链接,但是如果使用端口通道,它将仅使用捆绑中的一个链接来防止数据包乱序到达
    • 也应该与第2层相邻 
    • 发生故障转移时,此接口上的IP地址和MAC不会更改 除非在数据端口上进行了配置

 

具有透明防火墙模式的HA- 

  • 生成树是这里的考虑因素,因为它会在重新收敛时进入阻塞模式。您可以通过可能具有透明防火墙的访问端口来避免这种情况,但是必须确保没有环路

健康- 

  • 作为一个 依赖于问候消息来确定其他ASA的运行状况
  • 如果没有收到3条连续的问候消息,则ASA在以下位置发送一条特殊消息: 所有接口以查看对等方是否响应 
    • 如果故障转移链接上没有响应,则不会进行故障转移。 
    • 如果在数据接口之一上有响应,但没有故障转移,它将不会进行故障转移,但会将故障转移链接标记为失败。 
    • 如果任何接口上没有响应,则它将故障转移并假定另一个单元发生故障
  • 作为ASA运行状况检查的一部分,最多可以监视250个接口。建议只监视重要的。 
  • 借助Firepower,它可以监视背板,如果模块发生故障,则会触发故障转移 
  • 同时具有IPv4和IPv6地址的接口将使用IPv4地址进行监视
  • 作为一个 执行的接口测试:
    • 链接上/链接下
    • 来自产生的流量的网络活动
    • ARP测试以查看接口是否计数ARP请求 
    • 广播ping测试

复制- 

  • 备用将配置保留在运行内存中。要将两者保存,请使用write memory all命令 
  • 某些文件无法复制,包括以下内容:
    • Anyconnect图片& profiles
    • CSD图像
    • 本地CA
    • 作为一个 图片
    • ASDM图片
  • 没有复制到备用数据库的命令:
    • 复制 命令除外 复制运行配置启动配置
    • 命令除外 写内存
    • 除错 命令
    • 故障转移局域网单元 命令
    • 防火墙功能
    • 节目
    • 终端寻呼机 传呼机

主备配置

  • 在您想成为主要用户的ASA上,发出以下命令
    故障转移局域网单元主要
  • 为该ASA配置故障转移链接
    故障转移局域网接口 fo-name接口
  • 给积极 故障转移链接的备用IP地址:
    故障转移接口ip fo-name ip地址掩码 支持 IP地址
  • 启用故障转移链接
    接口 接口
    没有关机
  • 您也可以选择配置状态链接:
    故障转移链接 州名interface
    • 如果选择将其设置为与故障转移链接不同的接口,则需要在其上分配活动和备用IP地址:
      故障转移接口ip 州名ip-address mask 支持 IP地址
    • 启用状态链接:
      接口 接口
      没有关机
  • 也可以使用以下命令对故障转移或状态链接上的通信进行加密:
    故障转移ipsec预共享密钥
    • 如果选择这样做,则可以使用以下命令使用故障转移密钥而不是IPSec:
      故障转移密钥
      这被认为是旧命令
  • 启用故障转移:
    故障转移
  • 对于辅助单元,除了 故障转移局域网单元主要 命令。默认情况下,一个单位将处于次要位置 

 

主动/主动配置

  • 您必须首先配置多上下文模式,并配置接口的IP地址(故障转移和状态链接除外)。 
  • 在主单元上,发出以下命令:
    故障转移局域网单元主要
  • 配置将用作故障转移链接的接口:
    故障转移局域网接口 fo-name接口
  • 指定故障转移链接的活动和备用IP地址:
    故障转移接口ip fo-name ip地址掩码 支持 IP地址
  • 启用故障转移链接:
    接口 接口
    没有关机
  • (可选)您可以指定一个接口用作状态链接:
    故障转移链接 州名interface
  • 如果状态链接是一个单独的接口,则需要为其配置活动和备用IP地址:
    故障转移接口ip 州名 ip-address mask 支持 IP地址
  • 启用状态链接接口:
    接口 接口
    没有关机
  • (可选)如果要对故障转移和状态链接之间的通信进行加密,则可以使用与Active / Standby相同的命令来执行相同的操作:
    故障转移ipsec预共享密钥
    • 如果选择这样做,则可以使用以下命令使用故障转移密钥而不是IPSec:
      故障转移密钥
      这被认为是旧命令
  • 创建故障转移组1:
    故障转移组1

    抢占 延迟
  • 创建故障转移组2:
    故障转移组2
    次要的
    抢占
    延迟
  • 将上下文添加到故障转移组:
    语境 名称
    加入故障转移组{1 | 2}
  • 启用故障转移:
    故障转移
  • 以相同的方式配置辅助站点,除了您不会使用 故障转移局域网单元主要 从第二个命令,如果默认。的 故障转移组加入故障转移组 命令将从主单元复制。您可能要强制执行故障转移组2的故障转移,以使其在辅助单元上处于活动状态: 
    故障转移活动组2
  •  您也可以选择在Active / Active上配置非对称路由支持,以将非对称路由的数据包恢复到正确的接口。为此,您需要将相似的接口分配给ASA上的同一ASR组。您还希望在开始配置之前确保已启用状态故障转移和http复制。您将确保在主要和备用ASA上的所有活动上下文中完成以下配置。需要记住的一个警告是,您不能在上下文中同时配置ASR组和流量区域。要配置ASR组,请执行以下操作:
    • 在主服务器和辅助服务器上,指定要允许非对称路由数据包的接口,并为该接口设置ASR组
      接口 接口
      小组

 

其他书呆子旋钮:

  • 更改单位轮询和主机时间。注意:输入的保持时间值不能小于单位轮询时间的3倍。使用以下命令更改时间:
    故障转移轮询时间[单位] [毫秒] p时间 [保持时间[毫秒] 时间 ]
  • 更改会话复制率。默认值为由ASA模型设置的最大速率。在“活动/待机”中使用以下命令对其进行更改。在“活动/活动”中,无法通过故障转移组进行设置:
    故障转移复制率 康斯
  • 直接在辅助单元或上下文上禁用配置更改:
    故障转移备用配置锁
  • 启用HTTP状态复制:
    故障转移复制http (活动/待机)
    复制http (主动/主动)
  • 配置接口故障时的故障转移阈值。默认值是当一个接口发生故障时,它将进行故障转移:
    故障转移接口策略 [%] (活动/待机)
    接口策略 [%] (主动/主动)
  • 更改接口轮询和保持时间:
    故障转移轮询时间接口[毫秒] 时间 [保持时间 时间 ] (活动/待机)
    polltime接口[毫秒] 时间 [保持时间 时间 ] (主动/主动)
  • 配置接口的虚拟MAC地址。 
    故障转移mac地址 接口活动mac-standby-mac (活动/待机)
    MAC地址 接口活动mac-standby-mac (主动/主动)
  • 配置受监视的接口:
    [no] monitor-interface { 名字 |服务模块}

 

有用的命令:

  • 强制故障转移:
    在备用装置上- 
    故障转移有效 (活动/待机)
    故障转移活动[组 ] (主动/主动)
    在活动单元上- 
    无故障转移活动 (活动/待机)
    无故障转移活动[组 ] (主动/主动)
  • 禁用一个或两个单元上的故障转移,直到重新加载:
    没有故障转移
    如果您希望此设置永久不变, 写记忆
  • 将发生故障的单元重置为未发生故障的状态:
    故障转移重置 (活动/待机)
    故障转移重置[组 ] (主动/主动)
  • 重新同步配置: 
    写待机
  • 要在对等,活动或备用数据库上远程执行。注意:这不能用于更改为不同的上下文或在对等方上执行调试:
    故障转移执行程序{active |伴侣|支持} 命令
  • 调试故障转移消息:
    调试Fover

显示命令:

  • 显示连接数
  • 显示故障转移
  • 显示故障转移执行
  • 显示故障转移执行伙伴
  • 显示故障转移组
  • 显示监视器界面
  • 显示运行配置故障转移