[DC工程项目之ASA5540/5550 Failover测试

测试原因：

    之前公司使用CheckPoint防火强，由于新的DC机房规划将由CP转向ASA，为保证HA性能方面的差异，进行测试。

测试拓扑： 

测试项目：

在ASA HA配置为A/S状态进行测试：

1：单FTP client 在A/S模式下 pooltime为系统默认情况下使用windows ftp client访问server

2：单FTP client在A/S下，polltime更改,使用Windows ftp client访问server

3：双或者多个FTPclient在A/S下，polltime更改下使用windows ftp client访问server

测试过程：（asa版本8.21）

1：配置ftp client地址，网关指向ASA outside；

2：配置ftp server地址，网关指向asa inside；

3：配置asa策略在Inside，ouside permit any any，permit icmp；

4：配置ASA HA模式为AS（配置步骤见我的blog）,polltime为默认

     polltime:类似于hello包，用于通信，保活。

     polltime 后面可对interface和unit 进行poll，同时可以设定holdtime时间进行切换

命令：failover polltime interface sec(poll间隔) holdtime sec（poll时间的至少3倍）

            failover polltime unit sec(poll间隔) holdtime sec（poll时间的至少3倍）

5：windows ftp client开启方法：ftp://IP,bin,[hash],mget *.*

 

测试结果：

  1：在单个client下，采用系统默认的polltime时间（interface:3,15 unit:5,15）,采用   

       windows ftp client在拔出单台ASA线，形成HA切换，FTP会继续传输数据。

  2：在关闭设备或者reload单台设备，采用默认polltime时间，发现将不会继续传输

  3：修改2中的polltime时间为（interface:2,10,unit:2.10,或者interface: 2,10, unit:2,8）,继续

       上面2的操作，发现是可以继续传输的；

  4：在client下同时开启2个ftp client，poll时间按3进行设定，重复3的动作，发现当切

      换后会话会进行续传；

 5：关闭防火墙police-map gloab_policy 中的inspect ftp，重复4的动作发现2个会话都会

     进行传输，但之后做又不能，默认是不建议关闭检测的。

 6：升级ASAIOS(升级方法可看我的blog)从8.2.1->8.2.5->8.3进行如上测试，结果与上

      面是一致的

7: 给cisco开Case，得到的解释是调整unit的polltime及holdtime，调整后果然已号，更改后的配置：

failover
failover lan unit primary

failover lan interface Failover [interface]

failover polltime unit msec 330 holdtime 1----cisco给出的建议polltime还要小
failover polltime interface 2 holdtime 10
failover key *****
failover link Stateful [接口]
failover interface ip Failover [IP] [Mask] standby [IP]
failover interface ip Stateful [IP] [Mask] standby [IP]