Active-Standby
1、作用:提供設備冗余
2、物理概念:primary 和 secondary ,需要命令敲得,角色不會切換,
3、虛擬概念:active和standby ,需要選舉,角色可以切換。
4、LAN-FO : 專門一個接口做心跳線,同步配置信息,切換的時候交換IP和MAC,健康狀況等。
5、選舉方式:
當一個ASA啟動的時候,它就開始了選舉得進程。
○ 如果它檢測到了一個正在協商的設備處於FO接口的另一端,此時primary設備會成為Active, Secondary設備成為Standby。
○ 如果它檢測到了一個Active設備,它就會轉換成Standby狀態,即使它本身角色是primary。
○ 如果它沒檢測到設備,他將變為Active狀態。
- 當它成為Active設備之后,檢測到了另一個active設備(可能因為之前fo接口的問題,檢測出現問題),那么這兩個Actiive設備將重新協商角色
注: 上面得出的這些結論,都是基於兩台設備均為健康狀態。如果不是,那么兩個設備中處於健康狀態的那個將成為Active。
6、HA切換過程:
正常的FO切換事件
○ 如果Active設備出現故障,那么處於standby的設備將會成為Active
當切換發生時
○Standby設備在所有接口上繼承原來Active設備的屬性(IP和MAC地址)
○ 例外:FO以太接口的地址保持不變。
如果Failover 斷了,就會出現雙活
7、 Failover的管理
○ 只需要在Active設備上進行配置
○ active設備上所有配置的變化,都被自動復制到standby設備
○ standby設備可以登陸,做基本的監控和管理
8、 部署Failover的必要條件
○ 硬件需求一樣,接口模塊都要一樣
○ 軟件需求一樣,工作模式,版本,子版本必需相同,維護版本可以不一樣,但是會報錯,為以后不間斷升級用。
○ 授權需求,不必一模一樣,只要有Fo授權即可
9、 無狀態化的FO(默認)
僅僅提供硬件冗余
當切換時,所有連接會話都會斷,
用戶必須重新建立連接
狀態化的FO(需要敲命令)
兩個設備之間需要狀態化鏈路(是FO外的另一條鏈路)
硬件和狀態話表項的冗余。
用戶沒必要重新建立連接
10、Failover接口類型
LAN FO 接口
心跳線,同步配置,交換ip地址和MAC地址
Link FO 接口
用於傳遞狀態信息到Standby
建議使用獨立接口,不推薦使用子接口或和FO共享
11、狀態話同步表項
注:http不同步,因為http很多都是瞬時協議,默認沒有開啟,可以命令開啟。
12、Failover健康監控
單元健康監控
ASA通過監控FO鏈路來確定其他單元的健康狀況
當收不到來自Active設備的響應時,切換發生
接口健康監控(二層要通)
每個網絡接口都可以被監控
設備通過監控接口的Hello消息
當Active設備上一個被指定為監控接口出現故障時,切換發生
13、無狀態化A/S的FO配置
配置橋接設備,也就是交換機,記得接口做端口快速。
初始化Primary接口
hostname ASA
interface GigabitEthernet0/0
nameif Outside
security-level 0
ip address 172.16.100.10 255.255.255.0 standby 172.16.100.20
interface GigabitEthernet0/1
nameif Inside
security-level 100
ip address 10.1.1.10 255.255.255.0 standby 10.1.1.20
no shutdown
interface GigabitEthernet0/2
no shutdown
注意:需要primary ASA配置Standby IP
配置Primary FO
failover lan unit primary 指定本ASA為FO的Primary設備
failover lan interface FO GigabitEthernet0/2 指定G0/2為FO鏈路,接口名字為FO
failover key cisco(可選)加密與驗證用密鑰
failover interface ip FO 192.168.1.10 255.255.255.0 standby 192.168.1.20 配置IP地址
failover 啟用FO功能
配置Secondary FO
無需配置除心跳線接口的其他接口
interface GigabitEthernet0/2
no shutdown
failover lan unit secondary 指定本ASA為FO的Secondary設備
failover lan interface FO GigabitEthernet0/2 指定G0/2為FO鏈路,接口名字為FO
failover key cisco(可選)加密與驗證用密鑰
failover interface ip FO 192.168.1.10 255.255.255.0 standby 192.168.1.20 配置IP地址
failover 啟用FO功能
配置主機名不會跟着切
prompt Hostname priority state 在主上配置
測試Hardware FO故障切換
FO不支持自動搶占Active功能,需要ASA1上手動配置
ASA(config)# failover active
show failover 查看狀態
14、狀態化A/S的FO配置
注意:下面的配置在無狀態化基礎之上配置
配置stateful (在主的設備配置)
interface GigabitEthernet0/3
no shutdown
failover link stateful GigabitEthernet0/3 指定3口為stateful鏈路,接口名字為stateful
failover interface ip stateful 192.168.2.10 255.255.255.224 standby 192.168.2.20 配置IP地址
注意:無需在ASA2上配置,因為FO鏈路可以把配置同步到ASA2(secondary)
如果FO和stateful都使用一個口,配置如下:
failover
failover lan unit primary
failover lan interface failover GigabitEthernet0/2
failover link failover GigabitEthernet0/3
failover interface ip failover 12.16.101.1 255.255.255.224 standby 12.16.101.2 兩條鏈路的名字要一致
15、微調選項
默認FO的標准
單元標准
輪詢時間間隔默認1s
Hold時間間隔默認15s 對應命令 failover polltime unit msec 300 holdtime 15 這個可以調為毫秒
接口標准
輪詢時間間隔默認5s
hold時間間隔默認25s 對應命令 failover polltime interface msec 300 holdtime 15 這個也可以調為毫秒,默認子接口不發,也不監控
接口策略:觸發FO切換的故障接口數量默認1個 對應的命令 interface policy 1
還可以只監控某個接口,若接口失敗,切換觸發 monitor-interface Inside
還可以針對接口總數的百分比來切換 50% interface policy 50%
固定Active和Standby MAC地址
環境需求
如果備機起來了,主的沒起來,ip地址之前有配置,那么沒問題,但是mac地址卻不知道主的,這樣就能用備的MAC地址,但是當主起來,切到主,主用主的mac,就會出現arp問題。
failover mac addeess Inside 0000.0000.1111(主) 0000.0000.2222(備)
failover mac addeess Outside 0000.0000.3333(主) 0000.0000.4444(備)