Что такое режиме Failover в Csco ASA?
Режим Failover подразумевает резервирование основного устройства другим — резервным устройством.
То есть у нас должны быть две одинаковые Cisco ASA модели, например Cisco ASA 5512, которые соединяются между собой как минимум одним линком (обычно одного достаточно, но для желающих можно и два завернуть).
Логика работы режима Failove следующая:
Основной межсетевой экран всегда находится в активном состоянии и выполняет свою функциональную работу до тех пор, пока не выйдет из строя например или не упадет какой-либо важный для жизнеспособности офиса соединение. Пока основное устройство работает в полную силу, вторая Cisco находится в режиме ожидания и содержит в себе полную копию конфигурации
основной Asa. Соответственно, как только резервная Cisco перестает получать от основного hello-пакеты или видит в них падение какого-либо линка, сразу же берет на себя роль Active.
Переключение происходит так быстро, что пользователи не замечают, что произошла серьезная операция по спасению стабильности работы офиса.
1. Начнем настройку c «Cisco ASA основная (active)».
1.1. Выбираем интерфейс, который будет играть роль связующего между основной и резервной Cisco, например interface 0/1.
interface GigabitEthernet0/1 description Failover_Interface no nameif no security-level no ip address no shutdown
1.2. Далее переходим непосредственно к настройке Failover следующими командами:
configure terminal failover
Если после данной команды вы видите сообщение:
"DHCP Client cannot be enabled on interface, Gi1/1(outside) failover is not compatible with above configurations, user must manually remove or fix them as instructed before failover can be enabled."
Это означает, что вам нужно отключить dhcp client на интерфейсе Gi1/1. Отключается он следующими командами:
interface gigabitEthernet 1/1 no ip address dhcp
Если сообщение, что выше у вас не появилось, продолжаем вводу команд ниже.
failover lan unit primary failover lan interface Failover_Link GigabitEthernet0/1 failover polltime unit msec 200 holdtime msec 800 failover polltime interface msec 500 holdtime 5 failover link Failover_Link GigabitEthernet1/5 failover interface ip Failover_Link 192.168.50.1 255.255.255.252 standby 192.168.50.2 write
Командой Failover мы переходим в режим настройки самого режима.
Командой failover lan unit primary мы даем понять, что данное устройство будет основным.
Командой failover interface ip Failover_Link 192.168.50.1 255.255.255.252 standby 192.168.50.2 мы указываем , что у основного межсетевого экрана ip будет 192.168.50.1, а у резервного 192.168.50.2. Как только резервный становится основным, он соответственно занимает ip адрес основного — 192.168.50.1.
Также можно использовать команду, которая задает пароль, по которому устройства соединяются в failover режиме, но это не обязательное условие, больше как пожелание. Если вы на первом устройстве задали пароль, то и на втором также нужно будет его указать Обязательно!
failover key 123ithelp21ru
2. Настройку первого устройства завершили, переходим к настройке второго — резервного Cisco ASA (standby).
Настройка почти одинакова, кроме того, что нам нужно объяснить устройству, что оно Secondary, в отличии от первого где мы объявляли его Primary.
Также объявляем интерфейс, который по завершению можно будет объединить патчкордом.
interface GigabitEthernet0/1 description Failover_Interface no nameif no security-level no ip address no shutdown
Настраиваем сам failover режим:
failover failover lan unit secondary failover lan interface Failover_Link GigabitEthernet0/1 failover polltime unit msec 200 holdtime msec 800 failover polltime interface msec 500 holdtime 5 failover link Failover_Link GigabitEthernet1/5 failover interface ip Failover_Link 192.168.50.1 255.255.255.252 standby 192.168.50.2 write
3. Проверка работы Failover режима Cisco ASA.
Командой sh failover мы видим статус текущего устройства и общее состояние режима Failover.
Failover On Failover unit Primary Failover LAN Interface: Failover_Interface Gigabitethernet0/1 (up) This host: Primary – Active Other host: Secondary - Standby Ready
На этом завершаем статью, успехов в настройке.