ASAPIX在透明模式的配置活动活动故障切换摘要.PDFVIP

ASA/PIX：在透明模式的配置活动/活动故障切换 目录 简介 先决条件 要求 使用的组件 相关产品 规则 活动/活动故障切换 活动/活动故障切换概述 主要/辅助状态和活动/备用状态 设备初始化和配置同步 命令复制 故障切换触发器 故障切换操作 常规和有状态故障切换 常规故障切换 有状态故障切换 故障切换配置限制 不支持的功能 基于 LAN 的活动/活动故障切换配置 网络图 主要单元配置 辅助单元配置 配置 验证 使用 show failover 命令 查看受监视的接口 显示运行配置中的故障切换命令 故障切换功能测试 强制故障切换 禁用故障切换 恢复故障单元 故障排除 故障切换系统消息 主要单元在接口 interface_name 上丢失了与伙伴的故障切换通信 调试消息 SNMP 故障切换轮询时间 警告：故障切换消息解密失败。 相关信息 简介 故障切换配置要求两个相同的安全设备通过专用的故障切换链路（还可选择通过有状态故障切换链路）相互连接。将监视活动接口和 单元的运行状况，以确定是否符合特定故障切换条件。如果符合这些条件，则发生故障切换。 安全设备支持两种故障切换配置： 活动/活动故障切换 活动/备用故障切换 每种故障切换配置都有自身的确定和执行故障切换的方法。使用活动/活动故障切换时，两个单元都能传递网络流量。因而您能够在 网络上配置负载均衡。活动/活动故障切换仅适用于在多上下文模式下运行的单元。使用活动/备用故障切换时，只有一个单元传递流 量，而另一个单元处于备用等待状态。活动/备用故障切换适用于在单上下文模式或多上下文模式下运行的单元。这两种故障切换配 置都支持有状态或无状态（常规）的故障切换。 一透明防火墙，是操作类似线内冲突的Layer2防火墙，或者stealth防火墙和看不到作为对连接的设备的一路由器跳。安全设备的内 部端口和外部端口连接相同的网络。由于防火墙不是路由跃点，因此，可以很容易地将透明防火墙引入到现有网络，而无需重新分配 IP 地址。您可以设置自适应安全设备，使其在默认的路由防火墙模式或透明防火墙模式下运行。更改模式时，自适应安全设备会清 除配置，因为许多命令在这两种模式中不受支持。如果您已拥有填充配置，则在更改模式之前务必备份此配置；创建新配置时，可以 使用此备份配置作为参考。参考透明防火墙配置示例关于防火墙设备的配置的更多信息在透明模式的。 本文着重如何配置在透明模式的一主动/主动故障切换在ASA安全工具。 注意： 在多个上下文模式运行的单元不支持VPN故障切换。VPN故障切换为仅活动/等待故障切换配置是可用的。 Cisco 建议您不要使用管理接口来进行故障切换，对于不断从一个安全设备向另一个安全设备发送连接信息的有状态故障切换，尤其 如此。用于执行故障切换的接口至少必须与传递常规流量的接口具有相同的容量，当 ASA 5540 上的接口是千兆位时，管理接口只能 使用 FastEthernet。管理接口专用于管理流量，并被指定为 management0/0。但是，您能使用唯一的命令为了配置所有接口是一个 仅管理接口。对于 Management0/0，您也可以禁用“仅管理”模式，这样，管理接口就可以和其他任何接口一样传递流量。参考 Cisco安全设备命令参考，版本8.0关于唯一的命令的更多信息。 此配置指南提供一配置示例包括一简要介绍到ASA/PIX 7.x活动/等待技术。有关此项技术的理论基础的更多详细信息，请参阅 ASA/PIX 命令参考指南。 先决条件 要求 硬件要求 故障切换配置中的两个单元必须具有相同的硬件配置。它们的型号、接口的数量和类型，以及 RAM 量都必须相同。 注意： 两个单元的闪存大小不必相同。如果故障切换配置使用闪存大小不同的单元，请确保闪存较小的单元有足够空间容纳软件映 像文件和配置文件。否则，从闪存较大的单元向闪存较小的单元进行配置同步就会失败。 软件要求 故障切换配置中的两个单元必须处于操作模式（路由或透明，单上下文或多上下文）。它们必须具有相同的主软件版本（第一个数 字）和次软件版本（第二个数字），不过，在升级过程中，可以使用不同的软件版本；例如，可以将一个单元从版本 7.0(1) 升级为 版本 7.0(2) 并使故障切换保持为活动状态。Cisco 建议您将两个单元都升级为同一版