В кластер ASA можно собирать при наличии на каждой лицензии Security Plus. Для обмена репликациями я выделил отдельный физический интерфейс и назначить ему IP адреса. Адреса должны быть в одной подсети. Изначально Standby узел объявляет себя активным если она не получил несколько ответов от IP интерфейса, которым асы связаны между собой (где ходит репликация). Мне нужно сделать так, чтобы резервный узел включался и в том случае, если падает интерфейс Inside. Для этого на этом интерфейсе нужно прописать дополнительную конфу. Выделяем /29 сеть, даем один адрес узлу перед асой (в моем случае это L3 коммутатор), в конфиге главной асы прописываем на интерфейсе адрес, и обозначаем адрес второго узла для того, чтобы аса мониторила этот интерфейс. После этого нужно включить непосредственно сам мониторинг.
Итак, всё просто. Сначала настраиваем главный (Active) узел.
ciscoasa# conf t
ciscoasa(config)#interface GigabitEthernet0/0.30
ciscoasa(config)#vlan 30
ciscoasa(config)#nameif Inside
ciscoasa(config)#security-level 100
ciscoasa(config)#ip address 10.6.100.25 255.255.255.248 standby 10.6.100.26
ciscoasa(config)#exit
ciscoasa(config)#failover lan unit primary
ciscoasa(config)#failover lan interface failoverlink GigabitEthernet0/5
ciscoasa(config)#failover polltime unit msec 500 holdtime 2
ciscoasa(config)#failover replication http
ciscoasa(config)#failover link failoverlink GigabitEthernet0/5
ciscoasa(config)#failover interface ip failoverlink 10.6.100.41 255.255.255.252 standby 10.6.100.42
ciscoasa(config)#monitor-interface Inside
Внимание! Следующая команда включает режим кластера.
ciscoasa(config)#failover
Заходим на вторую. Главное, чтобы был линк L2 между failover интерфейсами обоих устройств.
Консоль отваливается.
На основной асе:
ciscoasa# show failover
Failover On
Failover unit Primary
Failover LAN Interface: failoverlink GigabitEthernet0/5 (up)
Unit Poll frequency 500 milliseconds, holdtime 2 seconds
Interface Poll frequency 5 seconds, holdtime 25 seconds
Interface Policy 1
Monitored Interfaces 2 of 114 maximum
failover replication http
Version: Ours 8.6(1)2, Mate 8.6(1)2
Last Failover at: 06:01:03 UTC Sep 10 2013
This host: Primary - Active
Active time: 480 (sec)
slot 0: ASA5512 hw/sw rev (1.0/8.6(1)2) status (Up Sys)
Interface Inside (10.6.100.25): Normal (Monitored)
Interface management (192.168.1.1): No Link (Waiting)
slot 1: IPS5512 hw/sw rev (N/A/7.1(4)E4) status (Up/Up)
IPS, 7.1(4)E4, Up
Other host: Secondary - Standby Ready
Active time: 1999 (sec)
slot 0: ASA5512 hw/sw rev (1.0/8.6(1)2) status (Up Sys)
Interface Inside (10.6.100.26): Normal (Monitored)
Interface management (0.0.0.0): No Link (Waiting)
slot 1: IPS5512 hw/sw rev (N/A/7.1(4)E4) status (Up/Up)
IPS, 7.1(4)E4, Up
Stateful Failover Logical Update Statistics
Link : failoverlink GigabitEthernet0/5 (up)
Stateful Obj xmit xerr rcv rerr
General 290 0 292 0
sys cmd 290 0 290 0
up time 0 0 0 0
RPC services 0 0 0 0
TCP conn 0 0 0 0
UDP conn 0 0 0 0
ARP tbl 0 0 1 0
Xlate_Timeout 0 0 0 0
IPv6 ND tbl 0 0 0 0
VPN IKEv1 SA 0 0 0 0
VPN IKEv1 P2 0 0 0 0
VPN IKEv2 SA 0 0 0 0
VPN IKEv2 P2 0 0 0 0
VPN CTCP upd 0 0 0 0
VPN SDI upd 0 0 0 0
VPN DHCP upd 0 0 0 0
SIP Session 0 0 0 0
Route Session 0 0 0 0
User-Identity 0 0 1 0
Logical Update Queue Information
Cur Max Total
Recv Q: 0 9 2277
Xmit Q: 0 1 858
Это на 5505:
interface Vlan40
ip address 10.6.100.33 255.255.255.248 standby 10.6.100.34
exit
failover lan unit primary
failover lan interface failoverlink vlan10
failover polltime unit msec 500 holdtime 2
failover interface ip failoverlink 10.6.100.45 255.255.255.252 standby 10.6.100.46
monitor-interface Outside
failover
failover lan unit secondary
failover lan interface failoverlink vlan10
failover polltime unit msec 500 holdtime 2
failover interface ip failoverlink 10.6.100.45 255.255.255.252 standby 10.6.100.46
monitor-interface Outside
failover
Итак, всё просто. Сначала настраиваем главный (Active) узел.
ciscoasa# conf t
ciscoasa(config)#interface GigabitEthernet0/0.30
ciscoasa(config)#vlan 30
ciscoasa(config)#nameif Inside
ciscoasa(config)#security-level 100
ciscoasa(config)#ip address 10.6.100.25 255.255.255.248 standby 10.6.100.26
ciscoasa(config)#exit
ciscoasa(config)#failover lan unit primary
ciscoasa(config)#failover lan interface failoverlink GigabitEthernet0/5
ciscoasa(config)#failover polltime unit msec 500 holdtime 2
ciscoasa(config)#failover replication http
ciscoasa(config)#failover link failoverlink GigabitEthernet0/5
ciscoasa(config)#failover interface ip failoverlink 10.6.100.41 255.255.255.252 standby 10.6.100.42
ciscoasa(config)#monitor-interface Inside
Внимание! Следующая команда включает режим кластера.
ciscoasa(config)#failover
Заходим на вторую. Главное, чтобы был линк L2 между failover интерфейсами обоих устройств.
ciscoasa(config)#failover lan unit secondary
ciscoasa(config)#failover lan interface failoverlink GigabitEthernet0/5
ciscoasa(config)#failover polltime unit msec 500 holdtime 2
ciscoasa(config)#failover replication http
ciscoasa(config)#failover link failoverlink GigabitEthernet0/5
ciscoasa(config)#failover interface ip failoverlink 10.6.100.41 255.255.255.252 standby 10.6.100.42
ciscoasa(config)#monitor-interface Inside
ciscoasa(config)#failover
Консоль отваливается.
На основной асе:
ciscoasa# show failover
Failover On
Failover unit Primary
Failover LAN Interface: failoverlink GigabitEthernet0/5 (up)
Unit Poll frequency 500 milliseconds, holdtime 2 seconds
Interface Poll frequency 5 seconds, holdtime 25 seconds
Interface Policy 1
Monitored Interfaces 2 of 114 maximum
failover replication http
Version: Ours 8.6(1)2, Mate 8.6(1)2
Last Failover at: 06:01:03 UTC Sep 10 2013
This host: Primary - Active
Active time: 480 (sec)
slot 0: ASA5512 hw/sw rev (1.0/8.6(1)2) status (Up Sys)
Interface Inside (10.6.100.25): Normal (Monitored)
Interface management (192.168.1.1): No Link (Waiting)
slot 1: IPS5512 hw/sw rev (N/A/7.1(4)E4) status (Up/Up)
IPS, 7.1(4)E4, Up
Other host: Secondary - Standby Ready
Active time: 1999 (sec)
slot 0: ASA5512 hw/sw rev (1.0/8.6(1)2) status (Up Sys)
Interface Inside (10.6.100.26): Normal (Monitored)
Interface management (0.0.0.0): No Link (Waiting)
slot 1: IPS5512 hw/sw rev (N/A/7.1(4)E4) status (Up/Up)
IPS, 7.1(4)E4, Up
Stateful Failover Logical Update Statistics
Link : failoverlink GigabitEthernet0/5 (up)
Stateful Obj xmit xerr rcv rerr
General 290 0 292 0
sys cmd 290 0 290 0
up time 0 0 0 0
RPC services 0 0 0 0
TCP conn 0 0 0 0
UDP conn 0 0 0 0
ARP tbl 0 0 1 0
Xlate_Timeout 0 0 0 0
IPv6 ND tbl 0 0 0 0
VPN IKEv1 SA 0 0 0 0
VPN IKEv1 P2 0 0 0 0
VPN IKEv2 SA 0 0 0 0
VPN IKEv2 P2 0 0 0 0
VPN CTCP upd 0 0 0 0
VPN SDI upd 0 0 0 0
VPN DHCP upd 0 0 0 0
SIP Session 0 0 0 0
Route Session 0 0 0 0
User-Identity 0 0 1 0
Logical Update Queue Information
Cur Max Total
Recv Q: 0 9 2277
Xmit Q: 0 1 858
Это на 5505:
interface Vlan40
ip address 10.6.100.33 255.255.255.248 standby 10.6.100.34
exit
failover lan unit primary
failover lan interface failoverlink vlan10
failover polltime unit msec 500 holdtime 2
failover interface ip failoverlink 10.6.100.45 255.255.255.252 standby 10.6.100.46
monitor-interface Outside
failover
failover lan unit secondary
failover lan interface failoverlink vlan10
failover polltime unit msec 500 holdtime 2
failover interface ip failoverlink 10.6.100.45 255.255.255.252 standby 10.6.100.46
monitor-interface Outside
failover
Комментариев нет:
Отправить комментарий