تسعى مجموعة الوثائق لهذا المنتج جاهدة لاستخدام لغة خالية من التحيز. لأغراض مجموعة الوثائق هذه، يتم تعريف "خالية من التحيز" على أنها لغة لا تعني التمييز على أساس العمر، والإعاقة، والجنس، والهوية العرقية، والهوية الإثنية، والتوجه الجنسي، والحالة الاجتماعية والاقتصادية، والتمييز متعدد الجوانب. قد تكون الاستثناءات موجودة في الوثائق بسبب اللغة التي يتم تشفيرها بشكل ثابت في واجهات المستخدم الخاصة ببرنامج المنتج، أو اللغة المستخدمة بناءً على وثائق RFP، أو اللغة التي يستخدمها منتج الجهة الخارجية المُشار إليه. تعرّف على المزيد حول كيفية استخدام Cisco للغة الشاملة.
ترجمت Cisco هذا المستند باستخدام مجموعة من التقنيات الآلية والبشرية لتقديم محتوى دعم للمستخدمين في جميع أنحاء العالم بلغتهم الخاصة. يُرجى ملاحظة أن أفضل ترجمة آلية لن تكون دقيقة كما هو الحال مع الترجمة الاحترافية التي يقدمها مترجم محترف. تخلي Cisco Systems مسئوليتها عن دقة هذه الترجمات وتُوصي بالرجوع دائمًا إلى المستند الإنجليزي الأصلي (الرابط متوفر).
يصف هذا المستند كيفية تكوين تجاوز الفشل النشط/النشط في جهاز NGFW من Cisco Firepower 4145.
cisco يوصي أن يتلقى أنت معرفة من هذا موضوع:
تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.
لا يتوفر تجاوز الفشل النشط/النشط إلا لأجهزة الأمان التي تعمل في وضع السياق المتعدد. في هذا الوضع، يتم تقسيم ASA منطقيا إلى أجهزة افتراضية متعددة، تعرف بالسياقات. يعمل كل سياق كجهاز مستقل، له سياسة الأمان والواجهات والإداريين الخاصين به.
يعد تجاوز الفشل النشط/النشط ميزة من ميزات جهاز الأمان القابل للتكيف (ASA) التي تسمح لجهازي طاقة نارية بتمرير حركة المرور في وقت واحد. يستخدم هذا التكوين عادة لسيناريو موازنة التحميل الذي تريد فيه تقسيم حركة مرور البيانات بين جهازين لزيادة الإنتاجية إلى الحد الأقصى. كما يتم إستخدامه لأغراض التكرار، لذلك في حالة فشل أحد محولات الوصول (ASA)، يمكن أن يتولى الآخر الأمر دون التسبب في تعطيل الخدمة.
يتم تخصيص كل سياق في تجاوز الفشل النشط/النشط يدويا لكل مجموعة من المجموعات 1 أو المجموعة 2. يتم تعيين سياق Admin إلى المجموعة 1 بشكل افتراضي. وتقوم المجموعة نفسها (المجموعة 1 أو المجموعة 2) في الهيكلين (الوحدات) بتكوين زوج التغلب على الأعطال الذي يحقق وظيفة التكرار. إن سلوك كل زوج من أزواج تجاوز الفشل هو بشكل أساسي نفس السلوك في حالات تجاوز الفشل في وضع الاستعداد/النشط. لمزيد من التفاصيل حول تجاوز الفشل في وضع الاستعداد/النشط، يرجى الرجوع إلى تكوين تجاوز الفشل في وضع الاستعداد/النشط. في حالة تجاوز الأعطال النشطة/النشطة، بالإضافة إلى الدور (أساسي أو ثانوي) لكل هيكل، يكون لكل مجموعة دور أيضا (أساسي أو ثانوي). يتم تعيين هذه الأدوار مسبقا يدويا بواسطة المستخدم ويتم إستخدامها لتحديد حالة التوفر العالي (HA) (نشط أو في وضع الاستعداد) لكل مجموعة لتجاوز الفشل.
سياق Admin هو سياق خاص يعالج اتصال إدارة الهيكل الأساسي (مثل SSH). هذه صورة لتجاوز الفشل النشط/النشط.
في تجاوز الفشل النشط/النشط، يمكن معالجة حركة مرور البيانات في النقوش المتعددة كما هو موضح في الصورة التالية.
في حالة تجاوز الفشل النشط/النشط، يتم تحديد حالة (نشط/إحتياطي) كل مجموعة بواسطة القواعد التالية:
هذا مثال على تغيير الحالة.
للحصول على تفاصيل حول مشغلات تجاوز الأعطال ومراقبة الصحة، يرجى الرجوع إلى أحداث تجاوز الأعطال.
1. يجري تشغيل كلا الجهازين في نفس الوقت تقريبا.
2. انقضاء الوقت المستبق (30 في هذا المستند).
3. حدث فشل (مثل Interface Down) في المجموعة 1 من الوحدة الأساسية.
4. فترة الإستباق (30 في هذا المستند) التي مرت منذ إسترداد المجموعة 1 من الجهاز الأساسي من الفشل.
5. تعيين المجموعة 2 للوحدة الأساسية يدويا إلى نشط.
يقدم هذا المستند التكوين والتحقق لقاعدة تجاوز الفشل النشطة/النشطة على هذا المخطط.
بالنسبة لكل من FirePOWER، قم بتسجيل الدخول إلى واجهة المستخدم الرسومية (GUI) الخاصة ب FCM. انتقل إلى الأجهزة المنطقية > تحرير. إضافة واجهة بيانات إلى ASA، كما هو موضح في الصورة.
الاتصال بواجهة سطر أوامر FXOS الأساسية عبر SSH أو وحدة التحكم. التشغيل connect module 1 console
connect asa
والأمر لإدخال واجهة سطر الأوامر (CLI) ل ASA.
أ. تكوين تجاوز الفشل على الوحدة الأساسية (قم بتشغيل الأمر في سياق النظام للوحدة الأساسية).
failover lan unit primary
failover lan interface fover E1/4
failover link fover_link E1/8
failover interface ip fover 192.168.240.254 255.255.255.0 standby 192.168.240.253
failover interface ip fover_link 192.168.250.254 255.255.255.0 standby 192.168.250.253
failover group 1 <--- group 1 is assigned to primary by default
preempt 30
failover group 2
secondary
preempt 30
failover
prompt hostname state priority context
ب. تكوين مجموعة تجاوز الفشل للسياق (قم بتشغيل الأمر في سياق النظام للوحدة الأساسية).
admin-context admin
context admin <--- admin context is assigned to group 1 by default
allocate-interface E1/3
config-url disk0:/admin.cfg
context con1
allocate-interface E1/1
allocate-interface E1/2
config-url disk0:/con1.cfg
join-failover-group 1 <--- add con1 context to group 1
!
context con2
allocate-interface E1/5
allocate-interface E1/6
config-url disk0:/con2.cfg
join-failover-group 2 <--- add con2 context to group 2
ج. تشغيل changeto context con1
لربط سياق con1 من سياق النظام . قم بتكوين IP لواجهة سياق con1 (قم بتشغيل الأمر في سياق con1 للوحدة الأساسية).
interface E1/1
nameif con1-inside
ip address 192.168.10.254 255.255.255.0 standby 192.168.10.253
security-level 100
no shutdown
interface E1/2
nameif con1-outside
ip address 192.168.20.254 255.255.255.0 standby 192.168.20.253
no shutdown
د. تشغيل changeto context con2
لربط سياق CON2 من سياق النظام . قم بتكوين IP لواجهة سياق CON2 (قم بتشغيل الأمر في سياق CON2 للوحدة الأساسية).
interface E1/5
nameif con2-inside
ip address 192.168.30.254 255.255.255.0 standby 192.168.30.253
security-level 100
no shutdown
interface E1/6
nameif con2-outside
ip address 192.168.40.254 255.255.255.0 standby 192.168.40.253
no shutdown
أ. الاتصال بواجهة سطر الأوامر (CLI) الثانوية الخاصة بنظام التشغيل FXOS عبر بروتوكول SSH أو وحدة التحكم. قم بتكوين تجاوز الفشل على الوحدة الثانوية (قم بتشغيل الأمر في سياق النظام للوحدة الثانوية).
failover lan unit secondary
failover lan interface fover E1/4
failover link fover_link E1/8
failover interface ip fover 192.168.240.254 255.255.255.0 standby 192.168.240.253
failover interface ip fover_link 192.168.250.254 255.255.255.0 standby 192.168.250.253
ب. تشغيل failover
الأمر (يتم تشغيله في سياق النظام للوحدة الثانوية).
failover
أ. التشغيلshow failover
في سياق النظام للوحدة الثانوية.
asa# show failover
Failover On
Failover unit Secondary
Failover LAN Interface: fover Ethernet1/4 (up)
Version: Ours 9.18(3)56, Mate 9.18(3)56
Serial Number: Ours FCH23157YFY, Mate FCH23037U8R
Group 1 last failover at: 17:00:56 JST Jan 11 2024
Group 2 last failover at: 17:00:56 JST Jan 11 2024
This host: Secondary <--- group 1 and group 2 are Standby status in Secondary Unit
Group 1 State: Standby Ready
Active time: 0 (sec)
Group 2 State: Standby Ready
Active time: 945 (sec)
con1 Interface con1-inside (192.168.10.253): Unknown (Waiting)
con1 Interface con1-outside (192.168.20.253): Unknown (Waiting)
con2 Interface con2-inside (192.168.30.253): Unknown (Waiting)
con2 Interface con2-outside (192.168.40.253): Normal (Waiting)
Other host: Primary <--- group 1 and group 2 are Active status in Primary Unit
Group 1 State: Active
Active time: 1637 (sec)
Group 2 State: Active
Active time: 93 (sec)
con1 Interface con1-inside (192.168.10.254): Normal (Monitored)
con1 Interface con1-outside (192.168.20.254): Normal (Monitored)
con2 Interface con2-inside (192.168.30.254): Normal (Waiting)
con2 Interface con2-outside (192.168.40.254): Normal (Waiting)
Stateful Failover Logical Update Statistics
Link : fover_link Ethernet1/8 (up)
ب. (إختياري) قم بتشغيل no failover active group 2
الأمر لتحويل المجموعة 2 من الوحدة الأساسية يدويا إلى حالة الاستعداد (قم بالتشغيل في سياق النظام للوحدة الأساسية). يمكن أن يؤدي ذلك إلى موازنة حمل حركة المرور من خلال جدار الحماية.
no failover active group 2
ملاحظة: إذا قمت بتشغيل هذا الأمر، فإن حالة تجاوز الفشل تطابق حالة تدفق حركة المرور 1.
عندما ينخفض E1/1، يتم تشغيل تجاوز فشل المجموعة 1 وتأخذ واجهات البيانات الموجودة على جانب الاستعداد (الوحدة الثانوية) عنوان IP و MAC من الواجهة النشطة الأصلية، مما يضمن مرور البيانات (اتصال FTP في هذا المستند) بشكل مستمر بواسطة ASAs.
تشغيل changeto context con1
للاتصال بسياق con1 من سياق النظام. تأكد من إنشاء اتصال FTP في كل من وحدتي ASA.
asa/act/pri/con1# show conn
5 in use, 11 most used
! --- Confirm the connection in Primary Unit
TCP con1-outside 192.168.20.1:21 con1-inside 192.168.10.1:49703, idle 0:00:11, bytes 528, flags UIO
asa/stby/sec/con1# show conn
5 in use, 11 most used
! --- Confirm the connection in Secondary Unit
TCP con1-outside 192.168.20.1:21 con1-inside 192.168.10.1:49703, idle 0:00:14, bytes 528, flags UIO
في سياق النظام، تأكد من حدوث تجاوز الفشل في المجموعة 1.
ملاحظة: حالة تجاوز الفشل تطابق حالة تدفق حركة المرور 4.
asa/act/sec# show failover
Failover On
Failover unit Secondary
Failover LAN Interface: fover Ethernet1/4 (up)
......
Group 1 last failover at: 20:00:16 JST Jan 11 2024
Group 2 last failover at: 17:02:33 JST Jan 11 2024
This host: Secondary
Group 1 State: Active <--- group 1 of Secondary Unit is Switching to Active
Active time: 5 (sec)
Group 2 State: Active
Active time: 10663 (sec)
con1 Interface con1-inside (192.168.10.254): Normal (Waiting)
con1 Interface con1-outside (192.168.20.254): Normal (Waiting)
con2 Interface con2-inside (192.168.30.254): Normal (Monitored)
con2 Interface con2-outside (192.168.40.254): Normal (Monitored)
Other host: Primary
Group 1 State: Failed <--- group 1 of Primary Unit is Switching to Failed status
Active time: 434 (sec)
Group 2 State: Standby Ready
Active time: 117 (sec)
con1 Interface con1-inside (192.168.10.253): Failed (Waiting)
con1 Interface con1-outside (192.168.20.253): Normal (Waiting)
con2 Interface con2-inside (192.168.30.253): Normal (Monitored)
con2 Interface con2-outside (192.168.40.253): Normal (Monitored)
قم بتشغيل changeto context con1
للاتصال بسياق con1 من سياق النظام، وتأكد من عدم مقاطعة اتصال FTP.
asa/act/sec# changeto context con1
asa/act/sec/con1# show conn
11 in use, 11 most used
! --- Confirm the target FTP connection exists in group 1 of the Secondary Unit
TCP con1-outside 192.168.20.1:21 con1-inside 192.168.10.1:49703, idle 0:00:09, bytes 529, flags UIO
LinkUP E1/1 للوحدة الأساسية وانتظر 30 ثانية (وقت مسبق)، ترجع حالة تجاوز الفشل إلى الحالة الأصلية (تطابق تدفق حركة المرور في النمط 1).
asa/stby/pri#
Group 1 preempt mate <--- Failover is triggered automatically, after the preempt time has passed
asa/act/pri# show failover
Failover On
Failover unit Primary
Failover LAN Interface: fover Ethernet1/4 (up)
......
Group 1 last failover at: 11:02:33 UTC Jan 11 2024
Group 2 last failover at: 08:02:45 UTC Jan 11 2024
This host: Primary
Group 1 State: Active <--- group 1 of Primary Unit is switching to Active status
Active time: 34 (sec)
Group 2 State: Standby Ready
Active time: 117 (sec)
con1 Interface con1-inside (192.168.10.254): Normal (Monitored)
con1 Interface con1-outside (192.168.20.254): Normal (Monitored)
con2 Interface con2-inside (192.168.30.253): Normal (Monitored)
con2 Interface con2-outside (192.168.40.253): Normal (Monitored)
Other host: Secondary
Group 1 State: Standby Ready <---- group 1 of Secondary Unit is switching to Standby status
Active time: 125 (sec)
Group 2 State: Active
Active time: 10816 (sec)
con1 Interface con1-inside (192.168.10.253): Normal (Monitored)
con1 Interface con1-outside (192.168.20.253): Normal (Monitored)
con2 Interface con2-inside (192.168.30.254): Normal (Monitored)
con2 Interface con2-outside (192.168.40.254): Normal (Monitored)
في حالة تجاوز الفشل النشط/النشط، يتم دائما إستخدام عنوان MAC الظاهري (تعيين القيمة يدويا أو إنشاء القيمة تلقائيا أو القيمة الافتراضية). يرتبط عنوان MAC الظاهري النشط بالواجهة النشطة.
in order to ثبتت الفعلي {upper}mac address للواجهات يدويا، mac address
الأمر أو الأمر mac-address
(ضمن I/F يثبت أسلوب) يستطيع كنت استعملت. هذا مثال على إعداد عنوان MAC ظاهري يدويا للواجهة المادية E1/1.
تحذير: يرجى تجنب إستخدام هذين النوعين من الأوامر داخل الجهاز نفسه.
asa/act/pri(config)# failover group 1
asa/act/pri(config-fover-group)# mac address E1/1 1234.1234.0001 1234.1234.0002
asa/act/pri(config-fover-group)# changeto context con1
asa/act/pri/con1(config)# show interface E1/1 | in MAC
MAC address 1234.1234.0001, MTU 1500 <--- Checking virtual MAC on the Primary Unit(con1) side
asa/stby/sec# changeto context con1
asa/stby/sec/con1# show interface E1/1 | in MAC
MAC address 1234.1234.0002, MTU 1500 <--- Checking virtual MAC on the Secondary Unit(con1) side
أو
asa/act/pri(config)# changeto context con1 asa/act/pri/con1(config)# int E1/1 asa/act/pri/con1(config-if)# mac-addr 1234.1234.0001 standby 1234.1234.0002 asa/act/pri/con1(config)# show interface E1/1 | in MAC MAC address 1234.1234.0001, MTU 1500 <--- Checking virtual MAC on the Primary Unit(con1) side asa/stby/sec# changeto context con1 asa/stby/sec/con1# show interface E1/1 | in MAC MAC address 1234.1234.0002, MTU 1500
<--- Checking virtual MAC on the Secondary Unit(con1) side
يتم أيضا دعم الإنشاء التلقائي لعنوان MAC الظاهري. ويمكن تحقيقه باستخدام mac-address auto
الأمر. تنسيق عنوان MAC الظاهري هو A2 xx.yyzz.zzzz الذي يتم إنشاؤه تلقائيا.
A2: قيمة ثابتة
xx.yy: تم إنشاؤه بواسطة <prefix prefix> المحدد في خيار الأمر (يتم تحويل البادئة إلى سداسية عشرية ثم يتم إدراجها بالترتيب العكسي).
zz.zzzz: تم إنشاؤه بواسطة عداد داخلي
هذا مثال حول إنشاء عنوان MAC ظاهري حسب mac-address auto
أمر للواجهة.
asa/act/pri(config)# mac-address auto
INFO: Converted to mac-address auto prefix 31
asa/act/pri(config)# show run all context con1 <--- Checking the virtual MAC addresses generated on con1 context
allocate-interface Ethernet1/1
mac-address auto Ethernet1/1 a21f.0000.0008 a21f.0000.0009
allocate-interface Ethernet1/2
mac-address auto Ethernet1/2 a21f.0000.000a a21f.0000.000b
config-url disk0:/con1.cfg
join-failover-group 1
asa/act/pri(config)# show run all context con2 <--- Checking the virtual MAC addresses generated on con2 context
context con2
allocate-interface Ethernet1/5
mac-address auto Ethernet1/5 a21f.0000.000c a21f.0000.000d
allocate-interface Ethernet1/6
mac-address auto Ethernet1/6 a21f.0000.000e a21f.0000.000f
config-url disk0:/con2.cfg
join-failover-group 2
في حالة عدم تعيين إنشاء تلقائي أو يدوي لعنوان MAC ظاهري، يتم إستخدام عنوان MAC الافتراضي.
للحصول على مزيد من المعلومات حول عنوان MAC الافتراضي، يرجى الرجوع إلى الأمر الافتراضي من عنوان MAC في دليل مرجع الأوامر من سلسلة Cisco Secure Firewall ASA.
يمكنك تحقيق ترقية صفرية وقت التوقف عن العمل لزوج تجاوز الأعطال النشط/النشط باستخدام CLI (واجهة سطر الأوامر) أو ASDM. لمزيد من المعلومات، يرجى الرجوع إلى ترقية زوج تجاوز الفشل النشط/النشط.
المراجعة | تاريخ النشر | التعليقات |
---|---|---|
1.0 |
07-Feb-2024 |
الإصدار الأولي |