ASA failover

Active-Standby

1、作用：提供设备冗余

2、物理概念：primary 和 secondary ，需要命令敲得，角色不会切换，

3、虚拟概念：active和standby ，需要选举，角色可以切换。

4、LAN-FO ： 专门一个接口做心跳线，同步配置信息，切换的时候交换IP和MAC，健康状况等。

5、选举方式：

当一个ASA启动的时候，它就开始了选举得进程。

○ 如果它检测到了一个正在协商的设备处于FO接口的另一端，此时primary设备会成为Active， Secondary设备成为Standby。

○ 如果它检测到了一个Active设备，它就会转换成Standby状态，即使它本身角色是primary。

○ 如果它没检测到设备，他将变为Active状态。

- 当它成为Active设备之后，检测到了另一个active设备（可能因为之前fo接口的问题，检测出现问题），那么这两个Actiive设备将重新协商角色

注： 上面得出的这些结论，都是基于两台设备均为健康状态。如果不是，那么两个设备中处于健康状态的那个将成为Active。

6、HA切换过程：

正常的FO切换事件

○ 如果Active设备出现故障，那么处于standby的设备将会成为Active

当切换发生时

○Standby设备在所有接口上继承原来Active设备的属性（IP和MAC地址）

○ 例外：FO以太接口的地址保持不变。

如果Failover 断了，就会出现双活

7、 Failover的管理

○ 只需要在Active设备上进行配置

○ active设备上所有配置的变化，都被自动复制到standby设备

○ standby设备可以登陆，做基本的监控和管理

8、 部署Failover的必要条件

○ 硬件需求一样，接口模块都要一样

○ 软件需求一样，工作模式，版本，子版本必需相同，维护版本可以不一样，但是会报错，为以后不间断升级用。

○ 授权需求，不必一模一样，只要有Fo授权即可

9、 无状态化的FO（默认）

仅仅提供硬件冗余

当切换时，所有连接会话都会断，

用户必须重新建立连接

状态化的FO（需要敲命令）

两个设备之间需要状态化链路（是FO外的另一条链路）

硬件和状态话表项的冗余。

用户没必要重新建立连接

10、Failover接口类型

LAN FO 接口

心跳线，同步配置，交换ip地址和MAC地址

Link FO 接口

用于传递状态信息到Standby

建议使用独立接口，不推荐使用子接口或和FO共享

11、状态话同步表项

注：http不同步，因为http很多都是瞬时协议，默认没有开启，可以命令开启。

12、Failover健康监控

单元健康监控

ASA通过监控FO链路来确定其他单元的健康状况

当收不到来自Active设备的响应时，切换发生

接口健康监控（二层要通）

每个网络接口都可以被监控

设备通过监控接口的Hello消息

当Active设备上一个被指定为监控接口出现故障时，切换发生

13、无状态化A/S的FO配置

配置桥接设备，也就是交换机，记得接口做端口快速。

初始化Primary接口

hostname ASA

interface GigabitEthernet0/0

nameif  Outside

security-level  0

ip address  172.16.100.10 255.255.255.0 standby 172.16.100.20

interface GigabitEthernet0/1

nameif  Inside

security-level  100

ip address  10.1.1.10 255.255.255.0 standby  10.1.1.20

no  shutdown

interface GigabitEthernet0/2

no shutdown

注意：需要primary ASA配置Standby IP

配置Primary FO

failover lan unit primary                指定本ASA为FO的Primary设备

failover lan interface FO GigabitEthernet0/2            指定G0/2为FO链路，接口名字为FO

failover  key cisco（可选）加密与验证用密钥

failover interface ip FO 192.168.1.10 255.255.255.0 standby 192.168.1.20          配置IP地址

failover             启用FO功能

配置Secondary FO

无需配置除心跳线接口的其他接口

interface GigabitEthernet0/2

no shutdown

failover lan unit secondary                指定本ASA为FO的Secondary设备

failover lan interface FO GigabitEthernet0/2            指定G0/2为FO链路，接口名字为FO

failover  key cisco（可选）加密与验证用密钥

failover interface ip FO 192.168.1.10 255.255.255.0 standby 192.168.1.20          配置IP地址

failover             启用FO功能

配置主机名不会跟着切

prompt  Hostname priority  state   在主上配置

测试Hardware FO故障切换

FO不支持自动抢占Active功能，需要ASA1上手动配置

ASA(config)# failover  active

show failover   查看状态

14、状态化A/S的FO配置

注意：下面的配置在无状态化基础之上配置

配置stateful （在主的设备配置）

interface GigabitEthernet0/3

no shutdown

failover link stateful GigabitEthernet0/3         指定3口为stateful链路，接口名字为stateful

failover interface ip stateful  192.168.2.10 255.255.255.224 standby 192.168.2.20    配置IP地址

注意：无需在ASA2上配置，因为FO链路可以把配置同步到ASA2（secondary）

如果FO和stateful都使用一个口，配置如下：

failover

failover lan unit primary

failover lan interface failover GigabitEthernet0/2

failover link failover GigabitEthernet0/3

failover interface ip failover 12.16.101.1 255.255.255.224 standby 12.16.101.2          两条链路的名字要一致

15、微调选项

默认FO的标准

单元标准

轮询时间间隔默认1s

Hold时间间隔默认15s            对应命令   failover polltime unit msec 300 holdtime 15     这个可以调为毫秒

接口标准

轮询时间间隔默认5s

hold时间间隔默认25s            对应命令    failover polltime interface msec 300 holdtime 15   这个也可以调为毫秒，默认子接口不发，也不监控

接口策略：触发FO切换的故障接口数量默认1个                对应的命令 interface policy 1

还可以只监控某个接口，若接口失败，切换触发    monitor-interface  Inside

还可以针对接口总数的百分比来切换 50%         interface policy 50%

固定Active和Standby MAC地址

环境需求

如果备机起来了，主的没起来，ip地址之前有配置，那么没问题，但是mac地址却不知道主的，这样就能用备的MAC地址，但是当主起来，切到主，主用主的mac，就会出现arp问题。

failover  mac addeess Inside  0000.0000.1111(主） 0000.0000.2222(备）

failover  mac addeess Outside  0000.0000.3333(主） 0000.0000.4444(备）