请选择 进入手机版 | 继续访问电脑版

设为首页 收藏本站
思科社区 关注
思科社区

  思科 CCO 登录 推荐
 找回密码
 立即注册

搜索
热搜: 邮件服务器
查看: 1596|回复: 5

思科ASA防火墙Failover未配置stanby参数

[复制链接]
发表于 2018-3-1 17:45:06 | 显示全部楼层 |阅读模式
0可用金钱
防火墙ASA 5585-SSP-20,version 8.4(1),主墙在配置接口地址时未配置standby地址,fo能否正常工作,主墙能否切换到备墙,流量能否不中断转发?
部分配置如下:

failover
failover lan unit primary
failover lan interface FWFAIL GigabitEthernet0/6
failover replication http
failover link state GigabitEthernet0/7
failover interface ip FWFAIL 192.168.2.1 255.255.255.252 standby 192.168.2.2
failover interface ip state 192.168.3.1 255.255.255.252 standby 192.168.3.2

interface TenGigabitEthernet0/9.501
vlan 101
nameif outside
security-level 0
ip address 10.5.201.4 255.255.255.248
exi




  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分2 (1 评价)
发表于 2018-3-5 09:43:12 | 显示全部楼层
不配置standby ip,你无法完整判断数据端口是否正常可用,你只能因为unit级别的failure导致设备切换
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分4 (2 评价)
发表于 2018-3-6 16:54:47 | 显示全部楼层
这个  肯定要配置啊,你还是按照手册来配置吧
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
发表于 2018-3-10 14:59:18 | 显示全部楼层
楼主想要实现什么样的需求才想到要这样配置?
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
 楼主| 发表于 2018-3-13 13:38:35 | 显示全部楼层
不是我配置的,是看到生产网的一个配置,想问是否可以实现HA
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
发表于 2018-9-27 17:55:32 | 显示全部楼层
本帖最后由 xiaocqu 于 2018-10-8 05:47 编辑
zhixincui 发表于 2018-3-13 13:38
不是我配置的,是看到生产网的一个配置,想问是否可以实现HA

问题:
主墙在配置接口地址时未配置standby地址,fo能否正常工作,主墙能否切换到备墙,流量能否不中断转发?

回答:
1/ fo正常工作

ciscoasa/pri/act(config)# interface Management0/0
ciscoasa/pri/act(config-if)#  ip address 10.1.1.1 255.255.255.0
WARNING: Failover is enabled but standby IP address is not configured for this interface.
ciscoasa/pri/act(config-if)
----------------------------------------------------------
ciscoasa/pri/act(config)# show run failover
failover
failover lan unit primary
failover lan interface FO GigabitEthernet0/4
failover link ST GigabitEthernet0/5
failover interface ip FO 192.168.1.1 255.255.255.0 standby 192.168.1.2
failover interface ip ST 192.168.2.1 255.255.255.0 standby 192.168.2.2
----------------------------------------------------------
ciscoasa/pri/act(config)# sho failover state

               State          Last Failure Reason      Date/Time
This host  -   Primary
               Active         None
Other host -   Secondary
               Standby Ready  Comm Failure             04:26:12 UTC Sep 20 2018

====Configuration State===
        Sync Done
====Communication State===
        Mac set

ciscoasa/pri/act(config)#

2/ 主墙能否切换到备墙,流量会无中断切换。

测试过程:
1)利用PC 长ping Management0/0 IP address 10.1.1.1

C:\Users\xiaocqu>ping 10.1.1.1 -t

Pinging 10.1.1.1 with 32 bytes of data:
Reply from 10.1.1.1: bytes=32 time<1ms TTL=252
Reply from 10.1.1.1: bytes=32 time=1ms TTL=252
Reply from 10.1.1.1: bytes=32 time<1ms TTL=252
Reply from 10.1.1.1: bytes=32 time=1ms TTL=252
Reply from 10.1.1.1: bytes=32 time<1ms TTL=252
……

然后做手动failover切换(standby 上执行“failover active”),全程无流量中断切换。

3/ 建议:
配置standby ip,否则备墙上对应接口无地址,影响备墙的数据连通性。详细如下:

ciscoasa/pri/act(config)# sho ip
System IP Addresses:
Interface                Name                   IP address      Subnet mask     Method
GigabitEthernet0/4       FO                     192.168.1.1     255.255.255.0   unset
GigabitEthernet0/5       ST                     192.168.2.1     255.255.255.0   unset
Management0/0            management             10.1.1.1   255.255.255.0   manual
Current IP Addresses:
Interface                Name                   IP address      Subnet mask     Method
GigabitEthernet0/4       FO                     192.168.1.1     255.255.255.0   unset
GigabitEthernet0/5       ST                     192.168.2.1     255.255.255.0   unset
Management0/0            management             10.1.1.1   255.255.255.0   manual
-----------------------------------------------------------------
ciscoasa/sec/stby(config)# sho ip
System IP Addresses:
Interface                Name                   IP address      Subnet mask     Method
GigabitEthernet0/4       FO                     192.168.1.1     255.255.255.0   unset
GigabitEthernet0/5       ST                     192.168.2.1     255.255.255.0   unset
Management0/0            management             10.1.1.1   255.255.255.0   manual
Current IP Addresses:
Interface                Name                   IP address      Subnet mask     Method
GigabitEthernet0/4       FO                     192.168.1.2     255.255.255.0   unset
GigabitEthernet0/5       ST                     192.168.2.2     255.255.255.0   unset
ciscoasa/sec/stby(config)#

  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Archiver | 思科社区  

GMT+8, 2018-11-15 23:29 , Processed in 0.106943 second(s), 45 queries .

京ICP备09041801号-187

版权所有 :copyright:1992-2019 思科系统  重要声明 | 保密声明 | 隐私权政策 | 商标 |

快速回复 返回顶部 返回列表