2019-01-19

防火墙高可靠性技术-Cisco Failover Active-Active(A/A)

Part 1-前言

通过上篇文章《ASA上部署Failover实例演示》中的介绍，想必大家对Cisco Failover技术已经有一定了解，并且可以完成Failover A/S模式的部署了，但是大家有没有想过一个问题，Failover A/S 模式中，我们两台ASA设备，一台Active，转发流量，一台Standby，做备份。这样部署，Standby设备如果在未发生故障切换的情况下就处于闲置状态。

那么，有没有一种部署方式，能让Standby设备也利用起来，转发流量？答案是“肯定有”，本文将为大家介绍Failover A/A技术是如何实现高可靠性，并且达到设备充分利用

Part 2 -Failover A/A介绍

一. 什么是Failover A/A

1. Failover A/A只能应用在多模式（multiple context）防火墙中。在一个Failover A/A 配置中，两个ASA能够同时工作且传输网络流量。

2. 在Failover A/A配置中可以把context划分到failover group，一个failover group中包含一个或多个context，最多可以创建两个failover group，默认的admin context永远属于Group 1，没有分配的context默认也属于failover group1

3. 一个物理ASA只会在一个failover group中成为Active
   [图片上传失败...(image-a128b1-1547886743103)]

注：如图1所示，Failover Group 1中子防火墙Context A和 Context C为Active，Context B为Standby，Failover Group 2中子防火墙Context A和 Context C为Standby，Context B为Active。

二. License要求

ASA必须开启Multiple模式

设备型号	License要求
ASA 5505	不支持
ASA 5510	Security Plus License
其他	Base License

三. Failover A/A中Active context（子防火墙）角色选举

• 当两台设备都为健康状态
  • 当从FO接口检测到一个正在协商的设备，本地Failover Group配置的Primary设备将成为Active;
  • 当从FO接口检测到一个设备在两个Failover Group中都是Active，此设备在两个Failover Group中都将变为Standby
  • 当从FO接口未检测到设备，此设备在两个Failover Group中都为Active
• 当只有一台设备为健康状态
  • 健康的设备在两个Failover Group中均为Active

四. Failover A/A故障切换

1. Failover 发生在设备或context层面上
2. 当一个物理设备中的Active成员出现故障，另外一台物理设备中相同Failover Group的Standby成员将成为Active。
3. 切换过程中Primary/Secondary身份不变
4. 切换后，IP和MAC在组成员之间交换。（同A/S模式，可参考“ASA上部署Failover实例演示”篇）
   [图片上传失败...(image-8617ca-1547886743103)]

注：当Failover Group 1中子防火墙Context A和Context C故障，这时候会在Failover Group 2中把Context A和 Context C切换成Active。

五. Failover A/A链路类型

1. LAN-Based Failover link：检测每个单元的运行状态并同步配置信息，使用独立接口充当。
2. Stateful Failover Link：同步状态化信息到Standby设备，可与其他接口共享，Cisco推荐使用单独接口
   [图片上传失败...(image-3854e0-1547886743103)]

Part 3 - 实验

一. 实验拓扑

[图片上传失败...(image-9ee342-1547886743103)]

二. 实验需求

在ASA1与ASA2间部署状态化的Failover Active-Active模式，让PC1和PC2可以telnet 到R1上，当ASA1或ASA2中任何一方出现故障，流量自动切换到另一方

三. 设备及IP地址说明

• R1为outside网络，PC1和PC2为inside网络，ASA1和ASA2各自虚拟出2个子防火墙，C1和C2.
• ASA1和ASA2中各自创建Failover Group 1和Failover Group 2，Context C1加入到Failover
  Group 1, Context C2加入Failover Group 2

Failover Group	ASA1	ASA2	Context
1	Active	Standby	C1
2	Standby	Active	C2

配置去往inside方向的路由

ip route 192.168.1.0 255.255.255.0 200.100.1.10
ip route 192.168.2.0 255.255.255.0 200.100.2.10