Cisco防火墙HA实例

实验环境:2台ASA5508防火墙,组建HA使得一台作为主防火墙Active,另外一台平时作为standby作为备用防火墙。防火墙有3个端口,

        gi 1/1 端口为outside出口   gi1/2 端口为inside进口 gi 1/3 端口为两台防火墙互连接口

实验目的:使得两台防火墙互为主备,平时只有一台工作,另一台作为热备在线。等主防火墙故障后,备防火墙直接切换为主防火墙继续提供服务。

实验网络拓扑图:

Cisco防火墙HA实例

该实验操作也支持其他可以做热备的设备配置,做热备的两台设备必须是同型号同版本的,以下查看是否可以做热备的配置:

ASA5508-Active# show version

Cisco防火墙HA实例

首先配置第一台防火墙,及主防火墙Active设备:

ASA5508-Active# configure ter

   ASA5508-Active(config)#interface gi 1/1

   ASA5508-Active(config-if)#nameif outside

   ASA5508-Active(config-if)#security-level 0

   ASA5508-Active(config-if)# ip address 172.16.1.11 255.255.255.0 standby 172.16.1.12   //standby为备用防火墙设备接口1的ip地址

   ASA5508-Active(config-if)#exit

   ASA5508-Active(config)#interface gi 1/2

   ASA5508-Active(config-if)#nameif inside

   ASA5508-Active(config-if)#security-level 100

   ASA5508-Active(config-if)#ip address 192.168.91.11 255.255.255.128 standby 192.168.91.12 //standby为备用防火墙设备接口2的ip地址

   ASA5508-Active(config-if)#exit

   ASA5508-Active(config)#failover lan unit primary  //指定该设备的角色为主防火墙

   ASA5508-Active(config)#failover lan interface failover gi1/3  //指定3号接口为主备设备互联接口(如果主备设备之间有多个端口连接,都需指定),

                                              本实验主备设备之间只有一个相连接口,所以只需指定一个接口。

  ASA5508-Active(config)#failover link fover gi1/3   //指定状态信息同步接口(即主备之间的配置信息同步接口),本实验因为主备之间只有一个接口相连

                                     故本实验可以不用指定。

  ASA5508-Active(config)#failover interface ip failover 172.17.1.1 255.255.255.0 standby 172.17.1.2  //该IP地址是设置在接口3互联的端口上,可以

                                                                     随意设置成自己定义的IP

  ASA5508-Active(config)#failover lan key cisco   //配置failover认证端口的密钥,cisco可以自定义,即设置主备设备之间接口3互相通讯的密钥为cisco.

  ASA5508-Active(config)#failover   //主防火墙的所有配置都设置OK后,输入该命令,即启用热备模式,注意,此命令一定要先在主设备上输入,否则如果先在

                         备用设备输入后,如果互联线连接了,会导致把备用设备的配置覆盖了主设备的配置。

  ASA5508-Active# show inter  //此时输入show inter 会显示接口3 位failover接口。

接下来配置备用设备standby设备:

ASA5508-Standby(config)#interface gi 1/3

  ASA5508-Standby(config-if)#no shutdown

  ASA5508-Standby(config-if)#exit

  ASA5508-Standby(config)#failover lan unit secondary  //设置该设备为备用状态

  ASA5508-Standby(config)#failover lan interface failover gi1/3  //指定3号接口为主备设备互联接口(如果主备设备之间有多个端口连接,都需指定),

                                             本实验主备设备之间只有一个相连接口,所以只需指定一个接口。

  ASA5508-Standby(config)#failover link fover gi1/3   //指定状态信息同步接口(即主备之间的配置信息同步接口),本实验因为主备之间只有一个接口相连

                                       故本实验可以不用指定。

  ASA5508-Standby(config)#failover interface ip failover 172.17.1.2 255.255.255.0 standby 172.17.1.1  //该IP地址是设置在接口3互联的端口上,可以

                                                                     随意设置成自己定义的IP


   ASA5508-Active(config)#failover lan key cisco   //配置failover认证端口的密钥,cisco可以自定义,即设置主备设备之间接口3互相通讯的密钥为cisco.

  ASA5508-Active(config)#failover   //即启用热备模式,注意,此命令一定要先在主设备上输入,否则如果先在备用设备输入后,如果互联线连接了,

                           会导致把备用设备的配置覆盖了主设备的配置。

至此两台设备同步信息后,配置只能在Active主设备上进行,备用设备hostname会喝主设备相同。可以通过show failover 查看,或者使用命令:

ASA5508-Active(config)#prompt hostname priority state  显示该设备的状态state

   ASA5508-Active/pri/act(config)#    //红色字体表示该设备为主设备的状态为activer活动状态,即当前工作的是该主设备。

登录备用设备查看

ASA5508-Standby(config)#prompt hostname priority state 显示该设备的状态state

   ASA5508-Standby/sec/stby(config)#  //红色字体表示该设备为备用设备的状态为stby备用状态,即当前工作的是该主设备

   其他配置信息:

   比如登录到主设备上输入以下命令:

 ASA5508-Active/pri/act(config)#no failover active  //手动把主设备切换为备用状态 (默认如果主设备有问题会自动切换到备用设备工作状态)

  ASA5508-Standby/sec/stby(config)#failover active   //手动备用设备切换为active状态

文章来源:https://www.cnaaa.net,转载请注明出处:https://www.cnaaa.net/archives/12143

(0)
凯影的头像凯影
上一篇 2024年6月19日 下午3:08
下一篇 2024年6月20日 下午2:25

相关推荐

  • DNS BIND主辅同步配置

    DNS主辅同步配置要点: DNS主辅环境 主DNS我们已经安装过bind了,接下来在辅助DNS安装bind 具体安装详解可以查看下面的文章 接下来修改辅助DNS配置文件 接下来修改主dns配置文件 dns master完整配置文件如下 现在我们将dns01 和dns02执行下面的命令,检查配置文件是否有错误 重启主dns 接下来我们去辅助dns,检查完全区域…

    2023年3月31日
    37000
  • 交换机密码忘了,肿么办?

    作为网络工程师,还要记住网络设备的密码。举个栗子,交换机有 BOOT 密码、Console 口密码、Telnet 密码、SSH 密码和 Web 登录密码。假如忘记了交换机的某个密码,该肿么办呢? 1、忘记 Web 登录密码 如果忘记了 Web 登录密码,可以通过 Console 口、Telnet 或 SSH 登录交换机,设置新的 Web 登录密码。比如:We…

    2023年12月14日
    29400
  • 路由生成

    1、获取路由的方式1)直连路由 路由器的直连网段,自动添加到路由表中 2)静态路由 静态路由的方式是指网络管理员手工配置路由条目,只能适用网络比较简单、规模比较小的环境 3)动态路由 动态感知、动态更新路由,占用链路带宽、协议包括ospf、rip、isis、bgp等 2、直连路由的来源 直连路由指向本地直连网路的路由,由设备自动生成当路由器为路由转发的最后一…

    2024年6月21日
    9000
  • ELK日志系统之使用Rsyslog快速方便的收集Nginx日志

    Rsyslog Rsyslog是高速的日志收集处理服务,它具有高性能、安全可靠和模块化设计的特点,能够接收来自各种来源的日志输入(例如:file,tcp,udp,uxsock等),并通过处理后将结果输出的不同的目的地(例如:mysql,mongodb,elasticsearch,kafka等),每秒处理日志量能够超过百万条。 Rsyslog作为syslog的…

    2023年5月24日
    61600
  • nexttrace(开源的全能可视化网络路由追踪工具)的安装

    nexttrace是一款开源可视化的路由追踪工具 nexttrace 是一个用 Go 语言编写的高性能、轻量化的分布式追踪系统。它是一个命令行工具,在命令行使用可以展示清晰的 TraceRoute 路由信息,同时支持根据地图进行可视化的展示,看完一目了然。 如何安装使用 使用如下方式即可安装 nexttrace 工具: 使用示例 DEMO nexttrace…

    2023年4月12日
    52500

发表回复

您的电子邮箱地址不会被公开。 必填项已用 * 标注

在线咨询: QQ交谈

邮件:712342017@qq.com

工作时间:周一至周五,8:30-17:30,节假日休息

关注微信