ASAPIX在透明模式配置主备故障切换-Cisco.PDFVIP

ASA/PIX：在透明模式配置主/备故障切换 目录 简介 先决条件 要求 使用的组件 相关产品 规则 活动/备用故障切换 活动/备用故障切换概述 主要/辅助状态和活动/备用状态 设备初始化和配置同步 命令复制 故障切换触发器 故障切换操作 常规和有状态故障切换 常规故障切换 有状态故障切换 基于 LAN 的活动/备用故障切换配置 网络图 主要单元配置 辅助单元配置 配置 验证 使用 show failover 命令 查看受监视的接口 显示运行配置中的故障切换命令 故障切换功能测试 强制故障切换 禁用故障切换 恢复故障单元 故障排除 故障切换监视 单元故障 LU 分配连接失败 故障切换系统消息 调试消息 SNMP 故障切换轮询时间 导出故障切换配置中的证书/专用密钥 警告：故障切换消息解密失败。 问题：故障切换在配置透明活动/等待多模故障切换以后总是拍动 ASA 模块故障切换 故障切换消息块分配失败 AIP 模块故障切换问题 已知问题 相关信息 简介 故障切换配置要求两个相同的安全设备通过专用的故障切换链路（还可选择通过有状态故障切换链 路）相互连接。将监视活动接口和单元的运行状况，以确定是否符合特定故障切换条件。如果符合 这些条件，则发生故障切换。 安全设备支持两种故障切换配置： 活动/活动故障切换 活动/备用故障切换 每种故障切换配置都有自身的确定和执行故障切换的方法。使用活动/活动故障切换时，两个单元都 能传递网络流量。因而您能够在网络上配置负载均衡。活动/活动故障切换仅适用于在多上下文模式 下运行的单元。使用活动/备用故障切换时，只有一个单元传递流量，而另一个单元处于备用等待状 态。活动/备用故障切换适用于在单上下文模式或多上下文模式下运行的单元。这两种故障切换配置 都支持有状态或无状态（常规）的故障切换。 一透明防火墙，是操作类似线内冲突的Layer2防火墙，或者stealth防火墙和看不到作为对连接的设 备的一路由器跳。安全设备的内部端口和外部端口连接相同的网络。由于防火墙不是路由跃点，因 此，可以很容易地将透明防火墙引入到现有网络，而无需重新分配 IP 地址。您可以设置自适应安全 设备，使其在默认的路由防火墙模式或透明防火墙模式下运行。更改模式时，自适应安全设备会清 除配置，因为许多命令在这两种模式中不受支持。如果您已拥有填充配置，则在更改模式之前务必 备份此配置；创建新配置时，可以使用此备份配置作为参考。参考透明防火墙配置示例关于防火墙 设备的配置的更多信息在透明模式的。 本文着重如何配置在透明模式的一活动/等待故障切换在ASA安全工具。 注意： 在多个上下文模式运行的单元不支持VPN故障切换。VPN故障切换为仅活动/等待故障切换 配置是可用的。 Cisco 建议您不要使用管理接口来进行故障切换，对于不断从一个安全设备向另一个安全设备发送 连接信息的有状态故障切换，尤其如此。用于执行故障切换的接口至少必须与传递常规流量的接口 具有相同的容量，当 ASA 5540 上的接口是千兆位时，管理接口只能使用 FastEthernet。管理接口 专用于管理流量，并被指定为 management0/0。但是，您能使用唯一的命令为了配置所有接口是一 个仅管理接口。对于 Management0/0，您也可以禁用“仅管理”模式，这样，管理接口就可以和其他 任何接口一样传递流量。参考Cisco安全设备命令参考，版本8.0关于唯一的命令的更多信息。 此配置指南提供了一个示例配置，简要介绍 PIX/ASA 7.x 活动/备用技术。有关此项技术的理论基础 的更多详细信息，请参阅 ASA/PIX 命令参考指南。 先决条件 要求 硬件要求 故障切换配置中的两个单元必须具有相同的硬件配置。它们的型号、接口的数量和类型，以及 RAM 量都必须相同。 注意： 两个单元的闪存大小不必相同。如果故障切换配置使用闪存大小不同的单元，请确保闪存较 小的单元有足够空间容纳软件映像文件和配置文件。否则，从闪存较大的单元向闪存较小的单元进 行配置同步就会失败。 软件要求 故障切换配置中的两个单元必须处于操作模式（路由或透明，单上下文或多上下文）。它们必须具 有相同的主软件版本（第一个数字）和次软件版本（第二个数字），不过，在升级过程中，可以使 用不同的软件版本；例如，可以将一个单元从版本 7.0(1) 升级为版本 7.0(2) 并使故障切换保持为活 动状态。Cisco 建议您将两个单元都升级为同一版本以确保长期兼容。 参考Cisco安全设备Line con