1、ASA Failover状态:
配置Failover需要两个相同的ASA设备,两个ASA设备通过专门的故障转移链路相互连接。
ASA Failover有两种状态:Active/Active failover & Active/Standby failover.
A/A:该状态的Failover两个ASA设备都可以转发流量,但是只有multiple context模式可以使用。
该模式的原理是划分security context到两个Failover groups,一个组在Primary ASA上被指定为Active,另一个组在Secondary ASA上被指定为Active(一个Failover group是一个或多个secondary context的逻辑组)。但Failover发生的时候,是在Failover group级别发生的。
A/S:该状态的Failover只有Active角色可以转发流量,而Standby处于不活跃的状态,监控Active的状态,一旦Failover发生,Active角色将由Standby角色接管,该状态single context和multiple context都可以使用。
两种模式的Failover都支持状态化和非状态化Failover。
2、Failover系统需求
硬件:
-相同模型model(PID)
-相同数量类型的接口【对于Firepower 4100/9300机箱,在启用Failover之前,所有接口必须在FXOS中进行相同的预配置。 如果在启用故障转移后更改接口,请在Standby设备上的FXOS中更改接口,然后在Active设备上进行相同的更改。 如果删除FXOS中的接口(例如,如果移除网络模块,删除EtherChannel或将接口重新分配给EtherChannel),则ASA配置会保留原始命令,以便您可以进行任何必要的调整; 从配置中删除接口会产生比较大的影响。 你可以在ASA OS中手动删除旧接口配置。】
-安装相同的模块
-安装相同大小的RAM【如果在Failover配置中使用具有不同闪存大小的设备,请确保具有较小闪存的设备有足够的空间容纳软件映像文件和配置文件。 如果没有,则从具有较大闪存的设备到具有较小闪存的设备的配置同步将失败。】
软件:
-相同的防火墙模式(路由模式/透明模式)
-相同的context模式(singe/multiple)
-相同的软件版本(包括主版本和小版本如version x.y)【您可以在升级过程中临时使用不同版本的软件; 例如,您可以将一个单元从版本8.3(1)升级到版本8.3(2),并使故障转移保持活动状态。思科建议将两个设备升级到相同版本,以确保长期兼容性。】
-有相同的anyconnect镜像【如果Failover pair在不中断的升级过程中发现镜像不匹配,然后clientless SSL VPN连接在升级过程最后的重启步骤中终止。数据库中显示孤立会话,并且IP地址池显示分配给客户端的地址为“in use”】
license需求:
Failover配置中的两个设备不需要具有相同的license,license会组合在一起以生成Failover cluster license。
3、Failover Link和State Failover Link
3.1 Failover Link:
Failover pair中的两个设备不断通过Failover link进行通信,以确定每个设备的运行状态。
Failover link中的数据主要包括:active&standby状态、hello信息(可以认为是keepalive)、网络链接状态、MAC地址交换、配置的复制和同步。
什么接口可以作为Failover接口呢?
You can use any unused data interface (physical, subinterface, redundant, or EtherChannel) as the failover link
注意:无法指定当前配置名称的接口。Failover link接口不能被配置为正常的网络接口,它只承载Failover信息交互。在大多数情况下,不能使用management接口给Failover使用(除非有如下的描述)。
5506-X through 5555-X—You cannot use the Management interface as the failover link; you must use
a data interface. The only exception is for the 5506H-X, where you can use the management interface
as the failover link.
5506H-X—You can use the Management 1/1 interface as the failover link. If you configure it for failover,
you must reload the device for the change to take effect. In this case, you cannot also use the ASA
Firepower module, because it requires the Management interface for management purposes
5585-X—Do not use the Management 0/0 interface, even though it can be used as a data interface. It
does not support the necessary performance for this use.
ASA on the Firepower 9300 and Firepower 4100—We recommend that you use a 10 GB data interface
for the combined failover and state link. You cannot use the management-type interface for the failover
link.
All other models—1 GB interface is large enough for a combined failover and state link.
对于用作Failover link的冗余接口,请参阅以下有关增加冗余的好处:
When a failover unit boots up, it alternates between the member interfaces to detect an active unit
If a failover unit stops receiving keepalive messages from its peer on one of the member interfaces, it
switches to the other member interface
The ASA does not support sharing interfaces between user data and the failover link. You also cannot use separate subinterfaces on the same parent for the failover link and for data.
对于用作Failover link的EtherChannel,为防止无序数据包,仅使用EtherChannel中的一个接口。 如果该接口出现故障,则使用EtherChannel中的下一个接口。 在将EtherChannel配置用作Failover link时,无法更改这一方式。
连接Failover link:
两种方式:
-使用交换机(与ASA的Failover link interface在同一网段(广播域或VLAN)上没有其他设备。)
-使用以太网线直接连接两个设备。
3.2 Stateful Failover link
为了使用Stateful Failover,必须配置一条Stateful failover link(也叫state link)来传输连接状态信息。思科建议Stateful Failover link的带宽至少和数据接口的带宽匹配。
state link可以和Failover link可以共用。共享Failover link是保护接口的最佳方式。 但是,如果您具有大型配置和高流量的网络,则必须考虑state link和Failover link的专用接口。
You can use a dedicated(专用的) data interface (physical, redundant, or EtherChannel) for the state link. For an
EtherChannel used as the state link, to prevent out-of-order packets, only one interface in the EtherChannel
is used. If that interface fails, then the next interface in the EtherChannel is used. (和Failover link一样)
连接state link的方式也是两种,交换机和直接连接,这也和Failover link的要求一样。值得注意的是:为了在使用长距离Failover时获得最佳性能,state link的延迟应小于10毫秒且不超过250毫秒。 如果延迟超过10毫秒,则由于重新传输Failover消息会导致性能下降。