Cisco防火墻HA實例

實驗環(huán)境：2臺ASA5508防火墻，組建HA使得一臺作為主防火墻Active，另外一臺平時作為standby作為備用防火墻。防火墻有3個端口，

        gi 1/1 端口為outside出口   gi1/2 端口為inside進口 gi 1/3 端口為兩臺防火墻互連接口

實驗目的：使得兩臺防火墻互為主備，平時只有一臺工作，另一臺作為熱備在線。等主防火墻故障后，備防火墻直接切換為主防火墻繼續(xù)提供服務。

實驗網絡拓撲圖：

該實驗操作也支持其他可以做熱備的設備配置，做熱備的兩臺設備必須是同型號同版本的，以下查看是否可以做熱備的配置：

ASA5508-Active# show version

首先配置第一臺防火墻，及主防火墻Active設備：

   ASA5508-Active# configure ter

   ASA5508-Active(config)#interface gi 1/1

   ASA5508-Active(config-if)#nameif outside

   ASA5508-Active(config-if)#security-level 0

   ASA5508-Active(config-if)# ip address 172.16.1.11 255.255.255.0 standby 172.16.1.12   //standby為備用防火墻設備接口1的ip地址

   ASA5508-Active(config-if)#exit

   ASA5508-Active(config)#interface gi 1/2

   ASA5508-Active(config-if)#nameif inside

   ASA5508-Active(config-if)#security-level 100

   ASA5508-Active(config-if)#ip address 192.168.91.11 255.255.255.128 standby 192.168.91.12 //standby為備用防火墻設備接口2的ip地址

   ASA5508-Active(config-if)#exit

   ASA5508-Active(config)#failover lan unit primary  //指定該設備的角色為主防火墻

   ASA5508-Active(config)#failover lan interface failover gi1/3  //指定3號接口為主備設備互聯(lián)接口（如果主備設備之間有多個端口連接，都需指定），

                                              本實驗主備設備之間只有一個相連接口，所以只需指定一個接口。

  ASA5508-Active(config)#failover link fover gi1/3   //指定狀態(tài)信息同步接口（即主備之間的配置信息同步接口），本實驗因為主備之間只有一個接口相連

                                     故本實驗可以不用指定。

  ASA5508-Active(config)#failover interface ip failover 172.17.1.1 255.255.255.0 standby 172.17.1.2  //該IP地址是設置在接口3互聯(lián)的端口上，可以

                                                                     隨意設置成自己定義的IP

  ASA5508-Active(config)#failover lan key cisco   //配置failover認證端口的密鑰，cisco可以自定義，即設置主備設備之間接口3互相通訊的密鑰為cisco.

  ASA5508-Active(config)#failover   //主防火墻的所有配置都設置OK后，輸入該命令，即啟用熱備模式，注意，此命令一定要先在主設備上輸入，否則如果先在

                         備用設備輸入后，如果互聯(lián)線連接了，會導致把備用設備的配置覆蓋了主設備的配置。

  ASA5508-Active# show inter  //此時輸入show inter 會顯示接口3 位failover接口。

接下來配置備用設備standby設備：

  ASA5508-Standby(config)#interface gi 1/3

  ASA5508-Standby(config-if)#no shutdown

  ASA5508-Standby(config-if)#exit

  ASA5508-Standby(config)#failover lan unit secondary  //設置該設備為備用狀態(tài)

  ASA5508-Standby(config)#failover lan interface failover gi1/3  //指定3號接口為主備設備互聯(lián)接口（如果主備設備之間有多個端口連接，都需指定），

                                             本實驗主備設備之間只有一個相連接口，所以只需指定一個接口。

  ASA5508-Standby(config)#failover link fover gi1/3   //指定狀態(tài)信息同步接口（即主備之間的配置信息同步接口），本實驗因為主備之間只有一個接口相連

                                       故本實驗可以不用指定。

  ASA5508-Standby(config)#failover interface ip failover 172.17.1.2 255.255.255.0 standby 172.17.1.1  //該IP地址是設置在接口3互聯(lián)的端口上，可以

                                                                     隨意設置成自己定義的IP

   ASA5508-Active(config)#failover lan key cisco   //配置failover認證端口的密鑰，cisco可以自定義，即設置主備設備之間接口3互相通訊的密鑰為cisco.

  ASA5508-Active(config)#failover   //即啟用熱備模式，注意，此命令一定要先在主設備上輸入，否則如果先在備用設備輸入后，如果互聯(lián)線連接了，

                           會導致把備用設備的配置覆蓋了主設備的配置。

  至此兩臺設備同步信息后，配置只能在Active主設備上進行，備用設備hostname會喝主設備相同?？梢酝ㄟ^show failover 查看，或者使用命令：

  ASA5508-Active(config)#prompt hostname priority state  顯示該設備的狀態(tài)state

   ASA5508-Active/pri/act(config)#    //紅色字體表示該設備為主設備的狀態(tài)為activer活動狀態(tài)，即當前工作的是該主設備。  

   登錄備用設備查看

   ASA5508-Standby(config)#prompt hostname priority state 顯示該設備的狀態(tài)state

   ASA5508-Standby/sec/stby(config)#  //紅色字體表示該設備為備用設備的狀態(tài)為stby備用狀態(tài)，即當前工作的是該主設備

   其他配置信息：

   比如登錄到主設備上輸入以下命令：

  ASA5508-Active/pri/act(config)#no failover active  //手動把主設備切換為備用狀態(tài) （默認如果主設備有問題會自動切換到備用設備工作狀態(tài)）

  ASA5508-Standby/sec/stby(config)#failover active   //手動備用設備切換為active狀態(tài)