Cisco asa failover active active

Cisco asa failover active active

KB ID 0001114

Usually when I’m asked to setup Active/Active I cringe, not because its difficult, its simply because people assume active/active is better than active/standby. I hear comments like ‘we have paid for both firewalls lets use them’, or ‘I want to sweat both assets’.

The only real practical use cases I can think of for Active /Active are;

  • You have a multi-tenancy environment and want to offer your tenants failover firewall capability.
  • You have multiple LAN subnets and what to splitВ them though different firewalls.

What Active/Active Wont Give You

Load balancing: It’s a firewall! If you want load balancing buy a load balancer! People assume because both firewalls are passing traffic, they must load balance, they don’t, in fact they don’t even pass traffic from the same subnet.

VPNS: Yes theres no VPNs with Active Active. (This is 100% the case up to an including version 9.0, after version 9.0 they have stopped saying it’s not supported, but don’t say it’s supported).

Deploy Cisco ASA in Active/Active Failover

Here’s what Im going to setup;

For a more ‘logical’ view heres what is actually being setup;

1. Make sure the Licences are on the firewalls allow multiple contexts. and Active/Active, for 5510, 5512-X, and 5508-X that means Security Plus, for all other models a ‘base’ licence is required. (Note: This CANNOT be done on an ASA 5505 or 5506-X).

2. Put the firewalls in Multiple context mode.

3. Let it reboot.

4. Make sure the firewall is in routed mode, and multiple context mode, repeat on the other firewall.

5. Once ASA1 is backup give it a sensible hostname, and ensure all the physical interfaces (and any sub interfaces) are NOT shutdown, and add then to the relevant VLAN (they are shut down by default).

6. Failover link NEEDS to be configured and used by the SYTEM Context, so its configured here. (Note: I’m using the same physical interface for LAN and Stateful failover information).

7. You can only have TWO failover groups (you can have many contexts, depending on the licence on your firewall).

Note: Unlike Active/Passive the ASA can preempt and ‘fail-back’ automatically.

8. Setup and assign your CONTEXTS (virtual firewalls), to these groups.

The following will show you a summary of the contexts.

10. Now configure vASA1.

11. Now configure vASA2.

12. Go back the the System context and save ALL the changes.

Note: Configuration on the main (physical) firewall is complete, the ‘failover’ configuration needs to now be setup on the second physical ASA.

13. On the ’Secondary’ Physical ASA.

14. Remember failover is off by default, and we have not switched it on, this needs to be done on both of the physical ASA’s (primary and secondary). Note: Make sure the ‘failover’ interface is NOT in a shut down state first!

Note: If building in GNS3 sometimes you need to put a switch in the middle of the ‘backup link’ or the firewalls don’t detect each other!

17. Top Tip: Remember that you need to make the changes on the active firewall context in the correct failover group. Change the firewall prompt to show you all this information.

Читайте также:  Какой linux выбрать для программирования

Testing Active/Active Failover

If you change to vASA1 (notice it’s active).

Now change to vASA2, (This ones in standby so DONT make changes here or they wont get replicated / saved).

Note: Moral of the story is you need to be aware what physical firewall you are on (primary or secondary) what mode you are in (active or standby) and what context you are in (vASA1 or vASA2). So in this example to make a change to vASA2 you would need to go to Secondary/Standby/vASA2 to edit the active firewall, (confusing eh! That’s why I change the firewall prompt).

Now you will want to test things, probably by pinging, don’t forget ICMP is not enabled by default an you will need to enable it, (in each context).

Оценка: 97 % — 6 Голосов

Общая

Небольшая шпаргалка по настройке Cisco ASA Failover в режиме Active/Standby failover с версией 9.x.

Какие варианты существуют?

Существует два типа работы Failover:

Active/Active failover — где трафик обрабатывается двумя устройствами. Данный метод не является средством увеличения производительности устройств и используется для балансировки нагрузки. При данном типе работы нельзя использовать IPsec VPN, SSL VPN и динамическую маршрутизацию.

Active/Standby failover — где трафик обрабатывается первым (активным) устройством, а второе находится в режиме ожидания и принимает нагрузку только в случае отказа первого. В данном типе работы доступно VPN failover.

Так как мы рассматриваем настройку Active/Standby failover то углубимся в данный тип работы.

В Active/Standby failover есть два режима работы :

Stateful failover — где обе ASA обмениваются информацией о состоянии сеансов по выделенному линку (Statefull Failover Link) и если какая-либо из ASA выйдет из строя, то другая подхватит существующие сеансы и продолжит работу.

Stateless failover — где при отказе основной (Active) все сеансы связи сбрасываются; активируется резервная (Standby) ASA, соединения для всех сеансов устанавливаются заново.

Перед тем как начать следует убедиться в следующем:
1. Обе ASA должны быть полностью одинаковыми во всем (модель, тип установленных модулей, количество ОЗУ и т.д.);
2. Обе ASA должны иметь одинаковый IOS;
3. Обе ASA должны иметь одинаковый загруженный образ AnyConnect (если таковой имеется или используется) и одинаковый файл профиля AnyConnect (если нет то копировать эти файлы вручную);
4. Обе ASA должны быть одинаково соединены с одними и теми же устройствами.

Что реплицируется и что нет?

Так же следует учесть что после настройки не все команды или файлы реплицируются межу Active и Stanby ASA.

Не реплицируются такие файлы как:

Файлы образ и профиль AnyConnect;

Образ Cisco Secure Desktop (CSD);

Не реплицируются следующие команды:

Команда Copy (исключение copy running-config startup-config );

Команда Write (исключение write memory );

Команда Debug и все ее составляющие;

Команда Failover lan unit и все ее составляющие;

Команда Firewall и все ее составляющие;

Команда Terminal pager и pager .

По поводу лицензий на устрйоство.

Начиная с версии 8.3(1) достаточно лицензии только для Active устройства.

Настройка устройств.

Обе ASA никак не подключены друг к другу.

Настройка ASA-01

Первым делом необходимо выбрать интерфейс для Statefull Failover Link по которому ASA будут обмениваться состояниями.

Читайте также:  Запуск bat по расписанию

На обоих ASA интерфейс должны быть одним и тем же.

Настройка Statefull Failover Link.

interface GigabitEthernet0/1
description STATE-REPLICATION Failover Interface
no nameif
no security-level
no ip address
no shutdown

Включаем режим failover на ASA-01

failover
failover lan unit primary
failover lan interface STATE-REPLICATION GigabitEthernet0/1
failover polltime unit 1 holdtime 3
failover link STATE-REPLICATION GigabitEthernet0/1
failover interface ip STATE-REPLICATION 172.16.0.1 255.255.255.252 standby 172.16.0.2
wri

Настройка ASA-02

Настройка Statefull Failover Link.

interface GigabitEthernet0/1
description STATE-REPLICATION Failover Interface
no nameif
no security-level
no ip address
no shutdown

Включаем режим failover на ASA-02

failover
failover lan unit secondary
failover lan interface STATE-REPLICATION GigabitEthernet0/1
failover polltime unit 1 holdtime 3
failover link STATE-REPLICATION GigabitEthernet0/1
failover interface ip STATE-REPLICATION 172.16.0.1 255.255.255.252 standby 172.16.0.2
wri

После этого выключаем ASA-02, соединяем между собой интерфейсы GigabitEthernet0/1 обеих ASA и включаем ASA-02.

После загрузки ASA-02 появится следующее:

Detected an Active mate
Beginning configuration replication from mate.

Если существуют какие-то недочеты и ошибки то они будут выведены в консоль.

Проверку работоспособности Failover проверяем командой sh failover на ASA-01 и получаем вывод:

Failover On
Failover unit Primary
Failover LAN Interface: STATE-REPLICATION GigabitEthernet0/1 (up)
Unit Poll frequency 1 seconds, holdtime 3 seconds
Interface Poll frequency 5 seconds, holdtime 25 seconds
Interface Policy 1
Version: Ours 9.1(7)12, Mate 9.1(7)12
Last Failover at: 08:52:25 MSK/MSD Jul 21 2018
This host: Primary — Active
Active time: 2709783 (sec)
slot 0: ASA5550 hw/sw rev (2.0/9.1(7)12) status (Up Sys)
slot 1: ASA-SSM-4GE-INC hw/sw rev (1.0/1.0(0)10) status (Up)
Other host: Secondary — Standby Ready
Active time: 0 (sec)
slot 0: ASA5550 hw/sw rev (2.0/9.1(7)12) status (Up Sys)
slot 1: ASA-SSM-4GE-INC hw/sw rev (1.0/1.0(0)10) status (Up)

Где Other host: Secondary — Standby Ready говорит о том, что failover работает нормально.

Если хотим доступность ASA Standby в сети.

Если вам необходима доступность Standby ASA в сети то выполните на Active ASA, на нужном вам интерфейсе следующее:

int НОМЕР ИНТЕРФЕЙСА
ip address IP-АДРЕС МАСКА standby IP-АДРЕС

Что делать если у вас подключен провайдре к одной из ASA?

Если к одной из ASA подключен провайдер и вы не знаете как подключить его к второй ASA то поставьте в разрез обычный коммутатор или соберите виртуальный коммутатор на управляемом коммутаторе, умеющим использовать VLAN — просто выделите 3 порта в VLAN не использующийся в конфигурациях оборудования и подключите в них обе ASA и вашего провайдера.

Команды Show, которые помогут.

Show conn count
Show failover
Show failover exec
Show failover exec mate
Show failover group
Show monitor-interface
Show running-config failover

Заказчик ПО выделил нам две cisco asa 5520 и n-ое количество серверов. С данным железом я знаком, но настройку с нуля не приходилось проводить. Поэтому прежде, чем предъявить заказчику требования по организации L2/L3, решил собрать схему на эмуляторе.

Что я хочу попробовать:

failover в схеме active-passive, убиваем одну, вторая должна автоматом подключиться;

monitor interface, failover при падении важных линков;

nat/pat;

ASA в качестве шлюза для сети;

Почесав репу, собрал такую схему(рис .1):

Не буду описывать настройку GNS3, подключение CISCO ASA к данному эмулятору — все это есть в интернете .

Читайте также:  Как врезаться в чугунную канализационную трубу

Версия IOS, используемая в ASA — 8.4, на ASA используется 3 порта. Для эмуляции серверов использовал linux-microcore-2.10 и мини образ дебиана 6.

Также, для того чтобы пользоваться снифером, я подключил всю эту систему к Loopback реальной машины.

Адреса интерфейсов, указание зон и маршрутов приведены ниже:

Name Interfaces IP GW ZONE
Microcore eth0 10.0.0.2/24 10.0.0.1/24 private
10.0.0.6/24 private
Microcore_5 eth0 10.0.0.4/24 10.0.0.1/24 private
eth1 10.0.0.5/24 private
10.0.0.7/24 private
ASA1 e0 10.0.0.1/24 172.16.0.254/24 private
e1 192.168.0.1/30 failover
e2 172.16.0.253/24 public
ASA4 e0 10.0.0.3/24 172.16.0.254/24 private
e1 192.168.0.2/30 failover
e2 172.16.0.252/24 public
debian eth1 172.16.0.250 172.16.0.253/24 public
C1 loopback 172.16.0.254/24 no public

Что бы я хотел проверить?

— хочу пускать сервера в интернет без NAT;

— хочу выпускать в интернет через NAT;

— через NAT используя NAT-pool;

— и сделать своеобразный редирект портов.

Ниже, мои «хотелки» сведены в таблицу:

IP NAT,ACL
10.0.0.2/24 Без NAT, tcp/80
10.0.0.6/2410.0.0.5/24 NAT-pool(172.16.0.230-231), icmp only
10.0.0.4/24 NAT(172.16.0.244),icmp, tcp/81
10.0.0.7/24 NAT(172.16.0.240),icmp,tcp/3333-3333,tcp/4440-4444

Теперь перейдем к схеме.

Начнем с файловера.

Запустим наши обе ASA.

Сменим имена обеих ASA и активируем лицензии (так как это всего лишь «эмуль», то ищем любые в сети, к примеру эти):

activation-key 0x4a3ec071 0x0d86fbf6 0x7cb1bc48 0x8b48b8b0 0xf317c0b5

activation-key 0xb23bcf4a 0x1c713b4f 0x7d53bcbc 0xc4f8d09c 0x0e24c6b6

Ждем, пока наша «железка» посчитает(займет минут 15).

Потом перезагружаем железку:

Не люблю, когда логи копятся прямо в консоль, уберу их. Также добавим параметры для логгирования и для удобства увеличим ширину консоли:

Аналогично на второй ASA.

Настраиваем интерфейсы(ASA1):

Для справки, securety level — уровень безопасности, позволяет «указать» более или менее «безопасный» интерфейс.

NameIf — имя интерфейса, согласитесь, удобнее обращаться к интерфейсам по вполне логичным именам — пусть защищаемая сеть будет за интерфейсом PRIVTATE, весь остальной мир — за интерфейсами PUBLIC.

Повторяем аналогично для второй «железки» (да, да, да, точь-в-точь).

На первой ASA указываем, что она основная, настраиваем интерфейс и поднимаем его:

Включаем failover:

Теперь на второй ASA, все аналогично, разве что она не Primary, a Secondary:

Как только связь между ASA появится, они начнут синхронизировать конфиг и фактически — кластер готов.

При синхронизации ASA сругается на отсутствие пароля:

Не критично, пароль поставить довольно просто(хотя у меня работало и без него):

Теперь смотрим, что у нас получилось:

На главной ASA мы видим, что она главная.

На второй ASA видим, что она неглавная))

Меня не устраивает надпись:

Stateful Failover Logical Update Statistics

Link : Unconfigured.

Я хочу statefull.

Собственно, файловер собран. Можно подкрутить время реакции, но это индивидуально.

Проверим, как это работает. Сейчас сохраним конфигурации (заметьте, сохраняя на первой ASA вы автоматически сохраняете на второй)… и вырубим первую(главную) ASA.

Переключение прошло успешно.

Обратите внимание, что при включении первой ASA автоматически основной она не станет.

Для этого задаем команду:

К сожалению, функцию мониторинга интерфейса мы проверить не сможем тут: GNS3 не умеет на «горячую» отключать линки от QEMU виртуалок.

Но все же опишу данную «фичу» (хотя сам так и не проверил — банально негде).

Указываем интерфейсы, которые хотим мониторить и указываем условие, (процент или количество) интерфейсов, при падении которых должен произойти файловер.

Ссылка на основную публикацию
Adblock detector