环境描述

  1. 两条公网出口,分别为移动,联通

  2. 两台ASA做主备配置,实现出口故障转移

  3. 内网两台核心做堆叠配置(由于模拟器无法实现堆叠,此处使用HSRP)

需求描述

  1. 当一条公网链路故障后,上网流量切换到备用线路

  2. 当一台ASA故障后,流量切换到备用ASA

  3. 当一台核心故障后,实现内网用户流量冗余

拓扑简介

  1. vios9模拟移动链路,vios10模拟联通链路

  2. switch13模拟公网主机

  3. 出口两台switch作为互联网接入交换机

  4. ASA作为出口设备,代理内网用户上网

  5. 内网两台核心做HSRP配置

  6. switch12 模拟内网主机

  

配置详情

  1. vios9

  interface GigabitEthernet0/0
  ip address 10.10.10.1 255.255.255.0

  interface GigabitEthernet0/1
  ip address 10.10.200.2 255.255.255.0

  ip route 30.30.30.0 255.255.255.0 10.10.200.1 //通往公网主机路由

  2. vios10

  interface GigabitEthernet0/0

  ip address 20.20.20.1 255.255.255.0

  interface GigabitEthernet0/1
  ip address 10.10.100.2 255.255.255.0

  ip route 30.30.30.0 255.255.255.0 10.10.100.1 //通往公网主机路由

  3. 互联网接入交换机配置

  左边交换机

  

  右边交换机

  

  4. ASA配置

  左边防火墙

  failover  //启用failover功能

  failover lan unit primary //配置ASA角色为主

  failover lan interface failover_lan GigabitEthernet0/1

  failover key cisco1234 //配置通讯秘钥

  failover link failover_link GigabitEthernet0/2

  failover interface ip failover_lan 1.1.1.5 255.255.255.252 standby 1.1.1.6 
  failover interface ip failover_link 1.1.1.9 255.255.255.252 standby 1.1.1.10

  右边防火墙 

  failover

  failover lan unit primary

  failover lan interface failover_lan GigabitEthernet0/1

  failover key cisco1234

  failover link failover_link GigabitEthernet0/2

  failover interface ip failover_lan 1.1.1.5 255.255.255.252 standby 1.1.1.6
  failover interface ip failover_link 1.1.1.9 255.255.255.252 standby 1.1.1.10

  此时 ASA的主备功能配置完成,剩余的配置只要在主设备配置即可,备设备会自动同步

  查看failover状态

  

  以下为防火墙接口配置,nat配置,路由配置 acl配置

   

  新建内网网段对象,并配置NAT

  object network obj-inside1
  subnet 192.168.10.0 255.255.255.0
  object network obj-inside2
  subnet 192.168.10.0 255.255.255.0

  =============== 

  object network obj-inside1
  nat (inside,outside1) dynamic interface
  object network obj-inside2
  nat (inside,outside2) dynamic interface

  =============

  路由配置

  route outside1 0.0.0.0 0.0.0.0 10.10.10.1 1 track 1 //此处默认走此路由,配置track,当track链路出现问题时,自动切换默认路由
  route outside2 0.0.0.0 0.0.0.0 20.20.20.1 254
  route inside 192.168.10.0 255.255.255.0 1.1.1.18 1

  =============

  track配置 

  sla monitor 123
  type echo protocol ipIcmpEcho 10.10.10.1 interface outside1
    num-packets 3
    frequency 10
  sla monitor schedule 123 life forever start-time now

  track 1 rtr 123 reachability

  ==============

  acl配置

  access-list des_out extended permit icmp any any  //此处为了验证,放行icmp

  access-group des_out in interface outside1 //分别在两个公网接口调用
  access-group des_out in interface outside2 //分别在两个公网接口调用

  5. 核心交换机配置

  接口配置

  左

  

  右

  

  HSRP配置

  

  

  ip route 0.0.0.0 0.0.0.0 1.1.1.17 //默认路由

  内网主机配置在此不再赘述

  

  此时已实以上需求配置,ASA主备切换时,模拟器状态下,内网主机丢一个包

  

  

ASA failover配置(A/S)的更多相关文章

  1. Cisco ASA 高级配置

    Cisco ASA 高级配置 一.防范IP分片攻击 1.Ip分片的原理: 2.Ip分片的安全问题: 3.防范Ip分片. 这三个问题在之前已经详细介绍过了,在此就不多介绍了.详细介绍请查看上一篇文章:I ...

  2. 思科ASA基本配置

    ------------恢复内容开始------------ ASA基本配置 ciscoasa#show running-config        //讲解已作的默认配置 ciscoasa#conf ...

  3. ASA failover

    Active-Standby 1.作用:提供设备冗余 2.物理概念:primary 和 secondary ,需要命令敲得,角色不会切换, 3.虚拟概念:active和standby ,需要选举,角色 ...

  4. Cisco ASA 5505配置详解(v8.3之前版本)

    在配ASA 5505时用到的命令 2009-11-22 22:49 nat-control命令 在6.3的时候只要是穿越防火墙都需要创建转换项,比如:nat:static等等,没有转换项是不能穿越防火 ...

  5. ASA failover应用

    failover的条件: 1.硬件型号必须相同 2.系统版本必须一致 3.模式必须一致 4.相同的许可和许可的数量 步骤: step 1:配置failover interface,确保状态 up LZ ...

  6. ASA基本配置

    拓扑如下: ASA5520# show running-config : Saved:ASA Version 8.0(2) !hostname ASA5520enable password 2KFQn ...

  7. ASA failover --AA

    1.A/A Failover  介绍 安全设备可以成对搭配成A/A的FO来提供设备级的冗余和负载分担. 两个设备在互为备份的同时,也能同时转发流量. 使用虚拟子防火墙是必须的,子防火墙被归为两个FO组 ...

  8. ASA虚墙配置

    asa配置ASA Version 8.0(2) <system>!hostname ASA5520enable password 2KFQnbNIdI.2KYOU encryptedno ...

  9. 【DATAGUARD】物理dg配置客户端无缝切换 (八.2)--Fast-Start Failover 的配置

    [DATAGUARD]物理dg配置客户端无缝切换 (八.2)--Fast-Start Failover 的配置 一.1  BLOG文档结构图       一.2  前言部分   一.2.1  导读 各 ...

随机推荐

  1. mongodb connection refused because too many open connections: 819

    Env Debian 9 # 使用通用二进制方式安装 # mongod --version db version v3.4.21-2.19 git version: 2e0631f5e0d868dd5 ...

  2. 这是那些大佬程序员常用的学习java网站,这就是别人薪资上万的原因

    大学四年,看课本是不可能一直看课本的了,对于学习,特别是自学,善于搜索网上的一些资源来辅助,还是非常有必要的,下面我就把这几年私藏的各种资源,网站贡献出来给你们.主要有:电子书搜索.实用工具.在线视频 ...

  3. 从Mac中完全删除office

    sudo sh -c "curl -s https://raw.githubusercontent.com/jimye/OfficeUninstall/master/office_unins ...

  4. java学习(第一篇)

    Java 简介 Java是由Sun Microsystems公司于1995年5月推出的Java面向对象程序设计语言和Java平台的总称.由James Gosling和同事们共同研发,并在1995年正式 ...

  5. QString 转换成 wchar 的一个小陷阱

    QString::toWCharArray(wchar_t * array) 其中 wchar_t * array 除了要分配内存之外,必须用 wmemset 初始化. 环境是 Visual Stud ...

  6. 【linux三剑客】sed命令

    sed - stream editor for filtering and transforming text sed 流编辑器 strem edition,实现对文件的增删改替换查是Linux中第二 ...

  7. certutil 导入 CA 证书

    2019独角兽企业重金招聘Python工程师标准>>> 在linux下使用GoAgent客户端的时候,需要导入CA.cer证书. 安装证书管理工具 apt-get install l ...

  8. MySQL分页查询的性能优化

    MySQL limit分页查询的性能优化 Mysql的分页查询十分简单,但是当数据量大的时候一般的分页就吃不消了. 传统分页查询:SELECT c1,c2,cn… FROM table LIMIT n ...

  9. HDU Problem D [ Humble number ]——基础DP丑数序列

    Problem D Time Limit : 2000/1000ms (Java/Other) Memory Limit : 65536/32768K (Java/Other) Total Submi ...

  10. The Preliminary Contest for ICPC Asia Xuzhou 2019 徐州网络赛 C Buy Watermelon

    The hot summer came so quickly that Xiaoming and Xiaohong decided to buy a big and sweet watermelon. ...