تكوين تجاوز فشل ASA النشط/النشط في FirePOWER 4100 Series

المقدمة

يصف هذا المستند كيفية تكوين تجاوز الفشل النشط/النشط في جهاز NGFW من Cisco Firepower 4145.

المتطلبات الأساسية

المتطلبات

cisco يوصي أن يتلقى أنت معرفة من هذا موضوع:

• تجاوز الفشل النشط/الاحتياطي في أجهزة الأمان المعدلة (ASA) من Cisco.

المكونات المستخدمة

تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:

• جهاز Cisco Firepower 4145 NGFW (ASA) 9.18(3)56
• نظام التشغيل القابل للتشغيل (FXOS) Firepower 2.12(0.498)
• نظام التشغيل Windows 10
  
  

تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.

معلومات أساسية

لا يتوفر تجاوز الفشل النشط/النشط إلا لأجهزة الأمان التي تعمل في وضع السياق المتعدد. في هذا الوضع، يتم تقسيم ASA منطقيا إلى أجهزة افتراضية متعددة، تعرف بالسياقات. يعمل كل سياق كجهاز مستقل، له سياسة الأمان والواجهات والإداريين الخاصين به.

يعد تجاوز الفشل النشط/النشط ميزة من ميزات جهاز الأمان القابل للتكيف (ASA) التي تسمح لجهازي طاقة نارية بتمرير حركة المرور في وقت واحد. يستخدم هذا التكوين عادة لسيناريو موازنة التحميل الذي تريد فيه تقسيم حركة مرور البيانات بين جهازين لزيادة الإنتاجية إلى الحد الأقصى. كما يتم إستخدامه لأغراض التكرار، لذلك في حالة فشل أحد محولات الوصول (ASA)، يمكن أن يتولى الآخر الأمر دون التسبب في تعطيل الخدمة.

تدفق حركة المرور

في تجاوز الفشل النشط/النشط، يمكن معالجة حركة مرور البيانات في النقوش المتعددة كما هو موضح في الصورة التالية.

تدفق حركة المرور

حالة تدفق حركة المرور 1

• الوحدة الأساسية: المجموعة 1 = نشط، المجموعة 2 = إستعداد
• الوحدة الثانوية: المجموعة 1 = إحتياطي، المجموعة 2 = نشط

حالة تدفق حركة المرور 1

حالة تدفق حركة المرور 2

• الوحدة الأساسية: المجموعة 1 = نشط، المجموعة 2 = نشط
• الوحدة الثانوية: المجموعة 1 = إحتياطي، المجموعة 2 = إحتياطي

حالة تدفق حركة المرور 2

حالة تدفق حركة المرور 3

• الوحدة الأساسية: المجموعة 1 = إحتياطي، المجموعة 2 = نشط
• الوحدة الثانوية: المجموعة 1 = نشط، المجموعة 2 = إستعداد

حالة تدفق حركة المرور 3

حالة تدفق حركة المرور 4

• الوحدة الأساسية: المجموعة 1 = إحتياطي، المجموعة 2 = إستعداد
• الوحدة الثانوية: المجموعة 1 = نشط، المجموعة 2 = نشط
  

  حالة تدفق حركة المرور 4

الرسم التخطيطي للشبكة

يقدم هذا المستند التكوين والتحقق لقاعدة تجاوز الفشل النشطة/النشطة على هذا المخطط.

failover lan unit primary
failover lan interface fover E1/4
failover link fover_link E1/8
failover interface ip fover 192.168.240.254 255.255.255.0 standby 192.168.240.253
failover interface ip fover_link 192.168.250.254 255.255.255.0 standby 192.168.250.253
failover group 1　　　<--- group 1 is assigned to primary by default 
preempt 30
failover group 2
secondary
preempt 30
failover
prompt hostname state priority context

ب. تكوين مجموعة تجاوز الفشل للسياق (قم بتشغيل الأمر في سياق النظام للوحدة الأساسية).

admin-context admin
context admin         <--- admin context is assigned to group 1 by default
allocate-interface E1/3
config-url disk0:/admin.cfg

context con1
allocate-interface E1/1
allocate-interface E1/2
config-url disk0:/con1.cfg
join-failover-group 1 <--- add con1 context to group 1
!
context con2
allocate-interface E1/5
allocate-interface E1/6
config-url disk0:/con2.cfg
join-failover-group 2 <--- add con2 context to group 2

ج. تشغيل changeto context con1لربط سياق con1 من سياق النظام . قم بتكوين IP لواجهة سياق con1 (قم بتشغيل الأمر في سياق con1 للوحدة الأساسية).

interface E1/1
nameif con1-inside
ip address 192.168.10.254 255.255.255.0 standby 192.168.10.253
security-level 100
no shutdown
interface E1/2
nameif con1-outside
ip address 192.168.20.254 255.255.255.0 standby 192.168.20.253
no shutdown

د. تشغيل changeto context con2لربط سياق CON2 من سياق النظام . قم بتكوين IP لواجهة سياق CON2 (قم بتشغيل الأمر في سياق CON2 للوحدة الأساسية).

interface E1/5
nameif con2-inside
ip address 192.168.30.254 255.255.255.0 standby 192.168.30.253
security-level 100
no shutdown
interface E1/6
nameif con2-outside
ip address 192.168.40.254 255.255.255.0 standby 192.168.40.253
no shutdown

الخطوة 3. التكوين على الوحدة الثانوية

أ. الاتصال بواجهة سطر الأوامر (CLI) الثانوية الخاصة بنظام التشغيل FXOS عبر بروتوكول SSH أو وحدة التحكم. قم بتكوين تجاوز الفشل على الوحدة الثانوية (قم بتشغيل الأمر في سياق النظام للوحدة الثانوية).

failover lan unit secondary
failover lan interface fover E1/4
failover link fover_link E1/8
failover interface ip fover 192.168.240.254 255.255.255.0 standby 192.168.240.253
failover interface ip fover_link 192.168.250.254 255.255.255.0 standby 192.168.250.253

ب. تشغيل failoverالأمر (يتم تشغيله في سياق النظام للوحدة الثانوية).

failover 

الخطوة 4. تأكيد حالة تجاوز الفشل بعد انتهاء المزامنة بنجاح

أ. التشغيلshow failoverفي سياق النظام للوحدة الثانوية.

asa# show failover 
Failover On 
Failover unit Secondary
Failover LAN Interface: fover Ethernet1/4 (up)
Version: Ours 9.18(3)56, Mate 9.18(3)56
Serial Number: Ours FCH23157YFY, Mate FCH23037U8R
Group 1 last failover at: 17:00:56 JST Jan 11 2024
Group 2 last failover at: 17:00:56 JST Jan 11 2024

This host: Secondary　　　　<--- group 1 and group 2 are Standby status in Secondary Unit
Group 1 State: Standby Ready
Active time: 0 (sec)
Group 2 State: Standby Ready
Active time: 945 (sec)

con1 Interface con1-inside (192.168.10.253): Unknown (Waiting)
con1 Interface con1-outside (192.168.20.253): Unknown (Waiting)
con2 Interface con2-inside (192.168.30.253): Unknown (Waiting)
con2 Interface con2-outside (192.168.40.253): Normal (Waiting)

Other host: Primary　　　　<--- group 1 and group 2 are Active status in Primary Unit
Group 1 State: Active
Active time: 1637 (sec)
Group 2 State: Active
Active time: 93 (sec)

con1 Interface con1-inside (192.168.10.254): Normal (Monitored)
con1 Interface con1-outside (192.168.20.254): Normal (Monitored)
con2 Interface con2-inside (192.168.30.254): Normal (Waiting)
con2 Interface con2-outside (192.168.40.254): Normal (Waiting)

Stateful Failover Logical Update Statistics
Link : fover_link Ethernet1/8 (up)

ب. (إختياري) قم بتشغيل  no failover active group 2  الأمر لتحويل المجموعة 2 من الوحدة الأساسية يدويا إلى حالة الاستعداد (قم بالتشغيل في سياق النظام للوحدة الأساسية). يمكن أن يؤدي ذلك إلى موازنة حمل حركة المرور من خلال جدار الحماية.

no failover active group 2

ملاحظة: إذا قمت بتشغيل هذا الأمر، فإن حالة تجاوز الفشل تطابق حالة تدفق حركة المرور 1.

التحقق من الصحة

عندما ينخفض E1/1، يتم تشغيل تجاوز فشل المجموعة 1 وتأخذ واجهات البيانات الموجودة على جانب الاستعداد (الوحدة الثانوية) عنوان IP و MAC من الواجهة النشطة الأصلية، مما يضمن مرور البيانات (اتصال FTP في هذا المستند) بشكل مستمر بواسطة ASAs. 

قبل الارتباط لأسفلأثناء الارتباط

تم تشغيل تجاوز الفشل

الخطوة 1. ابدأ اتصال FTP من نظام التشغيل Win10-01 إلى نظام التشغيل Win10-02

الخطوة 2. تأكيد اتصال FTP قبل تجاوز الفشل

تشغيل changeto context con1للاتصال بسياق con1 من سياق النظام. تأكد من إنشاء اتصال FTP في كل من وحدتي ASA.

asa/act/pri/con1# show conn
5 in use, 11 most used

! --- Confirm the connection in Primary Unit
TCP con1-outside 192.168.20.1:21 con1-inside 192.168.10.1:49703, idle 0:00:11, bytes 528, flags UIO

asa/stby/sec/con1# show conn
5 in use, 11 most used

! --- Confirm the connection in Secondary Unit
TCP con1-outside 192.168.20.1:21 con1-inside 192.168.10.1:49703, idle 0:00:14, bytes 528, flags UIO

الخطوة 3. LinkDown E1/1 للوحدة الأساسية

الخطوة 4. تأكيد حالة تجاوز الفشل

في سياق النظام، تأكد من حدوث تجاوز الفشل في المجموعة 1.

ملاحظة: حالة تجاوز الفشل تطابق حالة تدفق حركة المرور 4.

asa/act/sec# show failover 
Failover On 
Failover unit Secondary
Failover LAN Interface: fover Ethernet1/4 (up)
......
Group 1 last failover at: 20:00:16 JST Jan 11 2024
Group 2 last failover at: 17:02:33 JST Jan 11 2024

This host: Secondary
Group 1 State: Active　　<--- group 1 of Secondary Unit is Switching to Active
Active time: 5 (sec)
Group 2 State: Active
Active time: 10663 (sec)

con1 Interface con1-inside (192.168.10.254): Normal (Waiting)
con1 Interface con1-outside (192.168.20.254): Normal (Waiting)
con2 Interface con2-inside (192.168.30.254): Normal (Monitored)
con2 Interface con2-outside (192.168.40.254): Normal (Monitored)

Other host: Primary
Group 1 State: Failed　　<--- group 1 of Primary Unit is Switching to Failed status
Active time: 434 (sec)
Group 2 State: Standby Ready
Active time: 117 (sec)

con1 Interface con1-inside (192.168.10.253): Failed (Waiting)
con1 Interface con1-outside (192.168.20.253): Normal (Waiting)
con2 Interface con2-inside (192.168.30.253): Normal (Monitored)
con2 Interface con2-outside (192.168.40.253): Normal (Monitored)

الخطوة 5. تأكيد اتصال FTP بعد تجاوز الفشل

قم بتشغيل changeto context con1للاتصال بسياق con1 من سياق النظام، وتأكد من عدم مقاطعة اتصال FTP.

asa/act/sec# changeto context con1
asa/act/sec/con1# show conn
11 in use, 11 most used

! --- Confirm the target FTP connection exists in group 1 of the Secondary Unit
TCP con1-outside 192.168.20.1:21 con1-inside 192.168.10.1:49703, idle 0:00:09, bytes 529, flags UIO 

الخطوة 6. تأكيد سلوك الوقت المستبق

LinkUP E1/1 للوحدة الأساسية وانتظر 30 ثانية (وقت مسبق)، ترجع حالة تجاوز الفشل إلى الحالة الأصلية (تطابق تدفق حركة المرور في النمط 1).

asa/stby/pri# 
Group 1 preempt mate　　　　<--- Failover is triggered automatically, after the preempt time has passed

asa/act/pri# show failover 
Failover On 
Failover unit Primary
Failover LAN Interface: fover Ethernet1/4 (up)
......
Group 1 last failover at: 11:02:33 UTC Jan 11 2024
Group 2 last failover at: 08:02:45 UTC Jan 11 2024

This host: Primary
Group 1 State: Active　　<--- group 1 of Primary Unit is switching to Active status
Active time: 34 (sec)
Group 2 State: Standby Ready
Active time: 117 (sec)

con1 Interface con1-inside (192.168.10.254): Normal (Monitored)
con1 Interface con1-outside (192.168.20.254): Normal (Monitored)
con2 Interface con2-inside (192.168.30.253): Normal (Monitored)
con2 Interface con2-outside (192.168.40.253): Normal (Monitored)

Other host: Secondary
Group 1 State: Standby Ready　　<---- group 1 of Secondary Unit is switching to Standby status
Active time: 125 (sec)
Group 2 State: Active
Active time: 10816 (sec)

con1 Interface con1-inside (192.168.10.253): Normal (Monitored)
con1 Interface con1-outside (192.168.20.253): Normal (Monitored)
con2 Interface con2-inside (192.168.30.254): Normal (Monitored)
con2 Interface con2-outside (192.168.40.254): Normal (Monitored)

عنوان MAC الظاهري

في حالة تجاوز الفشل النشط/النشط، يتم دائما إستخدام عنوان MAC الظاهري (تعيين القيمة يدويا أو إنشاء القيمة تلقائيا أو القيمة الافتراضية). يرتبط عنوان MAC الظاهري النشط بالواجهة النشطة. 

الإعداد اليدوي لعنوان MAC الظاهري

in order to ثبتت الفعلي {upper}mac address للواجهات يدويا، mac addressالأمر أو الأمر mac-address(ضمن I/F يثبت أسلوب) يستطيع كنت استعملت. هذا مثال على إعداد عنوان MAC ظاهري يدويا للواجهة المادية E1/1.

تحذير: يرجى تجنب إستخدام هذين النوعين من الأوامر داخل الجهاز نفسه.

asa/act/pri(config)# failover group 1
asa/act/pri(config-fover-group)# mac address E1/1 1234.1234.0001 1234.1234.0002

asa/act/pri(config-fover-group)# changeto context con1
asa/act/pri/con1(config)# show interface E1/1 | in MAC
MAC address 1234.1234.0001, MTU 1500 <--- Checking virtual MAC on the Primary Unit(con1) side

asa/stby/sec# changeto context con1
asa/stby/sec/con1# show interface E1/1 | in MAC
MAC address 1234.1234.0002, MTU 1500 <--- Checking virtual MAC on the Secondary Unit(con1) side

أو

asa/act/pri(config)# changeto context con1
asa/act/pri/con1(config)# int E1/1
asa/act/pri/con1(config-if)# mac-addr 1234.1234.0001 standby 1234.1234.0002

asa/act/pri/con1(config)# show interface E1/1 | in MAC
MAC address 1234.1234.0001, MTU 1500 <--- Checking virtual MAC on the Primary Unit(con1) side

asa/stby/sec# changeto context con1
asa/stby/sec/con1# show interface E1/1 | in MAC
MAC address 1234.1234.0002, MTU 1500<--- Checking virtual MAC on the Secondary Unit(con1) side

asa/act/pri(config)# mac-address auto 
INFO: Converted to mac-address auto prefix 31

asa/act/pri(config)# show run all context con1 <--- Checking the virtual MAC addresses generated on con1 context
allocate-interface Ethernet1/1 
mac-address auto Ethernet1/1 a21f.0000.0008 a21f.0000.0009
allocate-interface Ethernet1/2 
mac-address auto Ethernet1/2 a21f.0000.000a a21f.0000.000b
config-url disk0:/con1.cfg
join-failover-group 1

asa/act/pri(config)# show run all context con2 <--- Checking the virtual MAC addresses generated on con2 context
context con2
allocate-interface Ethernet1/5 
mac-address auto Ethernet1/5 a21f.0000.000c a21f.0000.000d
allocate-interface Ethernet1/6 
mac-address auto Ethernet1/6 a21f.0000.000e a21f.0000.000f
config-url disk0:/con2.cfg
join-failover-group 2    

الترقية