Baza_wiedzy-Redundancja_CISCO_AS

Redundancja CISCO ASA FW

Urządzenia CISCO ASA mają możliwość działania redundantnie. W praktyce wygląda to tak, że jedna ASA (aktywna) zarządza ruchem w sieci, natomiast druga (zapasowa) monitoruje działanie pierwszej i w razie konieczności przejmuje pracę.

Zasada działania jest następująca: aktywna ASA przesyła swoją konfigurację, informacje o połączeniu (stany TCP/UDP, NAT, ARP, VPN itd.) do urządzania zapasowego. Dzięki temu w razie gdy aktywne urządzanie ulegnie awarii, zapasowe urządzenie natychmiast przejmie pracę. Użytkownicy w sieci nie zauważą przełączenia.

Warunki Redundancji
Aby urządzenia mogły działać redundantnie konieczne jest spełnienie pewnych warunków:

  • Urządzania muszą być takie same np. dwie ASA 5506
  • Hardware musi być taki sam: takie same interfejsy, pamięć Flash, pamięć RAM
  • Urządzenia muszą posiadać licencję Security Plus

Przykładowa konfiguracja
W naszym przypadku mamy dwa urządzania CISCO ASA (ASA-Active, ASA-Backup).

Interfejsy

  • FastEthernet0/1 LAN
  • FastEthernet0/2 WAN
  • FastEthernet0/3 Interfejs redundantny
  1. Ustawiamy ASA-Active jako urządzenie Active
    • ASA-Active (config)# failover lan unit primary
  2. Konfigurujemy interfejs Fast Ethernet 0/3 jako interfejs redundantny
    • ASA-Active (config)# failover lan interface FAILOVER FastEthernet0/3
    • INFO: Non-failover interface config is cleared on FastEthernet0/3 and its sub-interfaces
    • ASA-Active (config)# failover link FAILOVER FastEthernet0/3
  5. Adresujemy interfejs
    • ASA-Active (config)# failover interface ip FAILOVER 192.168.12.1 255.255.255.0 standby 192.168.12.2
  6. Włączamy funkcjonalność redundancji na urządzaniu
    • ASA-Active (config)# failover.
  7. Ustawiamy kiedy ASA-Active ma się przełączyć na urządzanie ASA-Backup. W naszym przypadku nastąpi to gdy interfejs LAN lub WAN będzie nieaktywny
    • ASA-Active (config)# monitor-interface LAN
    • ASA-Active (config)# monitor-interface WAN
  9. Konfigurujemy urządzanie zapasowe
    • ASA-Backup (config)# failover lan unit secondary
    • ASA-Backup (config)# failover lan interface FAILOVER FastEthernet0/3
    • ASA-Backup (config)# failover link FAILOVER FastEthernet0/3
    • ASA-Backup (config)# failover interface ip FAILOVER 192.168.12.1 255.255.255.0 standby 192.168.12.2
    • ASA-Backup (config)# failover

Następnie urządzenie ASA-Active przekaże konfigurację do urządzenia ASA-Backup. Powinniśmy zobaczyć informację na urządzeniu

ASA-Active
Beginning configuration replication: Sending to mate.
End Configuration Replication to mate

ASA-Backup
Failover LAN became OK
Switchover enabled

Configuration has changed, replicate to mate.
State check detected an Active mate
Beginning configuration replication from mate.
End configuration replication from mate.

Switching to Standby

Weryfikujemy konfigurację komendą: show failover

Czym nasze szkolenia wyróżniają się na rynku?

Nasze szkolenia odbiegają znacznie programem od zdecydowanej większości szkoleń z tej tematyki oferowanych w Polsce. Kładziemy nacisk na praktyczną jakość wiedzy oraz ćwiczenia gotowych mechanizmów sprawdzonych w praktyce. Więcej…

Od samego początku naszej działalności stawialiśmy na profesjonalne podejście do naszych Klientów

Network w liczbach

0
lat na rynku
0
realizacji
0
Klientów
0
projektów powyżej 100,000zł

Od samego początku naszej działalności stawialiśmy na profesjonalne podejście do naszych Klientów

Network w liczbach

0
lat na rynku
0
realizacji
0
Klientów