Failover на Cisco ASA

https://deltaconfig.ru/failover-on-cisco-asa/

http://xgu.ru/wiki/Cisco_ASA_failover

Перед тем, как настраивать резервирование на Cisco ASA (режим failover) необходимо четко понять следующее:

— из двух устройств Cisco ASA, объединенных в кластер и работающих в режиме failover, активным будет всегда только одно(!) из устройств.
— оба устройствах Cisco ASA должны быть одной и той же модели, например Cisco ASA 5515Х
— оба устройствах Cisco ASA должны быть с одним и тем же образом IOS, например 9.4(2)6
— failover НЕ работает, если на Cisco ASA настроено подключение к провайдеру через pppoe соединение

Я сознательно умалчиваю об исключениях из этих правил, дабы свести к минимуму возможные дальнейшей проблемы с настройкой.

Обратите внимание!
В вопросе настройке failover не так важны строки конфигурации, как последовательность их ввода и подключения двух Cisco ASA друг к другу.

Шаг 0. Проверка

Удостоверьтесь, что версии IOS на обоих устройствах идентичны, а также поддерживают режим failover. Для этого используйте команду «sh ver»
FW-DELTACONFIG-1# sh ver
Cisco Adaptive Security Appliance Software Version 9.4(2)6
...
Failover : Enabled
...
Если IOS различаются, то обновите версию на одном из устройств.

Шаг 1. Выбор интерфейса для синхронизации

Подключитесь к первому межсетевому экрану Cisco ASA №1 и выберите один из его свободных интерфейсов, который будет использоваться для синхронизации с Cisco ASA №2. Для наглядности добавьте строку с комментарием (STATE Failover Interface). Попутно следует убрать все иные настройки на этом интерфейсе, если они есть, а также активировать его командой «no shutdown»
FW-DELTACONFIG (config)#
interface GigabitEthernet0/3
description STATE Failover Interface
no nameif
no security-level
no ip address
no shutdown

Шаг 2.

Включите режим failover на Cisco ASA №1
FW-DELTACONFIG (config)#
failover
failover lan unit primary
failover lan interface STATE GigabitEthernet0/3
failover polltime unit 1 holdtime 3
failover link STATE GigabitEthernet0/3
failover interface ip STATE 10.0.0.1 255.255.255.252 standby 10.0.0.2

нужно поправить статью

#failover

#failover lan unit primary/secondary

#failover lan interface Failover_Link GigabitEthernet1/8

#failover polltime unit 1 holdtime 3

#failover link Failover_Link GigabitEthernet1/8

#failover interface ip Failover_Link 192.168.254.1 255.255.255.252 standby 192.168.254.2

#failover key aiw4eag7oop+u3Ua

Краткое пояснение:
STATE – название интерфейса
primary –порядковый номер устройства. Не стоит путать его с ролью устройства: может быть активным или «на подхвате» (active / standby)
10.0.0.1 и 10.0.0.2 – это адреса интерфейсов для синхронизации обоих Cisco ASA. Их можно заменить на другие, но важно помнить, что они должны быть из одной сети и не пересекаться с другими адресами.
Внимание!
На текущий момент настройки две Cisco ASA никак не подключены друг к другу. Включена только Cisco ASA №1. Вторая стоит в сторонке и ждет своей очереди.

Шаг 3. Подготовка Cisco ASA №2

Перед тем, как настраивать Cisco ASA №2, полностью очистите конфигурацию и отключите от устройства все провода.
FW-DELTACONFIG (config)#
clear configure all

Шаг 4.  Настройка Cisco ASA №2

Активируйте failover на Cisco ASA №2. Интерфейс для синхронизации и команды для failover идентичны тем, которые были для Cisco ASA №1, за исключением номера устройства. Здесь следует указать secondary.
FW-DELTACONFIG (config)#
interface GigabitEthernet0/3
description STATE Failover Interface
no nameif
no security-level
no ip address
no shutdown

failover
failover lan unit secondary
failover lan interface STATE GigabitEthernet0/3
failover polltime unit 1 holdtime 3
failover link STATE GigabitEthernet0/3
failover interface ip STATE 10.0.0.1 255.255.255.252 standby 10.0.0.2
После этого сохраните конфигурацию и выключите устройство из сети питания.
FW-DELTACONFIG (config)#
write

Шаг 5. Подключение

На текущий момент должно быть следующее:
Cisco ASA №1 включен и настроен для failover
Cisco ASA №2 выключен и настроен для failover
Соедините интерфейсы для синхронизации Gi 0/3 (тот, который выбрали в начале) обоих устройств и включите Cisco ASA №2. Во время загрузки в консоли управления устройством появится сообщение о найденном партнере (mate) и синхронизации конфигурации.
Beginning configuration replication: Sending to mate.
End Configuration Replication to mate
Cisco ASA №2 полностью скопирует себе в память конфигурацию от Cisco ASA №1. С этого момента все изменения необходимо осуществлять только(!) на Cisco ASA №1.

Шаг 6. Проверка работы failover

Помимо настройки и соединения интерфейсов для синхронизации необходимо подключить остальные интерфейсы обоих устройства абсолютно идентично.
В самом общем случае это внутренний интерфейс локальной сети (inside) и внешний интерфейс, к которому подключен провайдер Интернет или выделенный канал связи (outside). Необходимо точно также подключить внутреннюю сети и внешнего оператора связи к Cisco ASA №2.
Для проверки текущего состояния failover воспользуйтесь командой «sh failover». В выводе будет показана роль устройства, с которого выполнена команда, версия IOS на обоих Cisco ASA, а также состояние всех интерфейсов.
FW-DELTACONFIG# sh failover
Failover On
Failover unit Primary
Failover LAN Interface: STATE Gigabitethernet0/3 (up)
Unit Poll frequency 1 seconds, holdtime 3 seconds
Interface Poll frequency 5 seconds, holdtime 25 seconds
Interface Policy 1
Monitored Interfaces 2 of 110 maximum
Version: Ours 9.4(2)6, Mate 9.4(2)6
Last Failover at: 02:31:53 time Jul 7 2016
This host: Primary – Active
Active time: 95079907 (sec)
slot 0: ASA5510 hw/sw rev (2.0/8.2(1)11) status (Up Sys)
Interface inside (10.0.0.1): Normal
Interface outside (192.168.0.1): Normal
slot 1: empty
Other host: Secondary - Standby Ready
Active time: 0 (sec)
slot 0: ASA5515 hw/sw rev (1.0/9.4(2)6) status (Up Sys)
Interface inside (10.0.0.2): Normal
Interface outside (192.168.0.2): Normal
slot 1: empty
Обратите внимание на состояние Secondary устройства. В примере это Standby Ready. Это означает, что все работает штатно.
В случае, если состояние будет Other host: Secondary – Failed, то failover не работает. Проверьте включено ли питание на Cisco ASA №2, подключены ли все интерфейсы также, как и на Cisco ASA №1 и идентичны ли версии IOS.

Важно!

Алгоритм работы failover
1) При включении Cisco ASA проверяет наличие соседей и, если таковой имеется, берет на себя роль Standby, при этом полностью копирует текущую конфигурацию с активного устройства и переходит в ждущий режим.

2) Если соседей не найдено, то Cisco ASA переходит в состояние Active и работает как отдельно стоящее устройство.

3) Если все настроено корректно и состояние межсетевых экранов выглядит как Active/Standby, то переключение ролей происходит в следующих случаях:

— ручное переключение из консоли активного устройства через команду «no failover active». Устройства меняются ролями и трафик начинает идти через соседнее устройство.
— автоматическое переключение на соседнее устройство, если на активном устройстве выйдет из строя хотя бы один из интерфейсов. Если точно такой же интерфейс уже был неактивен на Standby устройстве, то переключения не произойдет

Важно!

Если один из интерфейсов на активном устройстве (Cisco ASA№1) вышел из строя, устройства поменялись ролями и №1 стал Standby, а после этого поблемный интерфейс восстановился, то обратного переключения не произойдет. Secondary устройство будет оставаться в состоянии Active до следующего сбоя на нем самом или до ручного переключения ролей (смотри выше «no failover active»). Принимать какие-бы то ни было меры при этом не требуется.

Важно!

Primary и Secondary – исключительно номера устройств. Они не имеют особого значения.
Active и Standby – роли устройств. Имеют определяющее значение и указывают на устройство, которое на данный момент работает с трафиком.

Для справки:
Обычно возникает вопрос: Как подключить канал от оператора связи сразу в оба межсетевых экрана? Каким образом сделать из одного провода два?
Очень просто – используйте коммутатор. Возьмите существующее оборудование, подключив Cisco ASA №2 к портам с такими же настройками Vlan, что и на потах, куда подключен Cisco ASA №1 или возьмите дополнительное устройство.
Достаточно самого простого коммутатора на 8 портов за 10$ — 20$. Подключите провод от провайдера в порт 1, а порты 2 и 3 соедините с обоими Cisco ASA. Этот вариант дешев, прост и понятен. В случае выхода из строя коммутатора его элементарно заменить за 5 минут на любой другой подобный. Один такой коммутатор требуется на каждый общий интерфейс.
Если позволяют финансы и бюджет, то для надежности я посоветую использовать коммутатор Cisco 2960, создав на нем нужное количество Vlan для каждого из интерфейсов на Cisco ASA.

Важно!

Не забудьте сохранить конфигурацию на Active устройстве командой write или copy run start. Иначе после перезагрузки все изменения будут потеряны.
FW-DELTACONFIG-1#write
Building configuration...
[OK]