ASA Active/Active Failover configureren in Firepower 4100-reeks

Downloadopties

  • PDF     (1.7 MB)
    Met Adobe Reader op diverse apparaten bekijken
  • ePub     (1.6 MB)
    Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
  • Mobi (Kindle)     (1.3 MB)
    Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken
Bijgewerkt:7 februari 2024
Document-id:221642

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

    Inleiding

    In dit document wordt beschreven hoe u Active/Active Failover configureert in Cisco Firepower 4145 NGFW Appliance.

    Voorwaarden

    Vereisten

    Cisco raadt je aan om kennis te hebben van dit onderwerp:

    • Active/Standby-failover in Cisco Adaptive Security Appliance (ASA).

    Gebruikte componenten

    De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:

    • Cisco Firepower 4145 NGFW-toestel (ASA) 9.18(3)56
    • Firepower Extensible Operating System (FXOS) 2.12(0.498)
    • Windows 10

    De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.

    Achtergrondinformatie

    Actieve/actieve failover is alleen beschikbaar voor beveiligingstoestellen die in de modus voor meerdere contexten worden uitgevoerd. In deze modus is de ASA logisch onderverdeeld in meerdere virtuele apparaten, bekend als contexten. Elke context werkt als een onafhankelijk apparaat, met een eigen beveiligingsbeleid, interfaces en beheerders.

    De Active/Active failover is een functie van Adaptive Security Appliance (ASA) waarmee twee Firepower-apparaten tegelijkertijd het verkeer kunnen passeren. Deze configuratie wordt meestal gebruikt voor een scenario voor taakverdeling waarbij u het verkeer tussen twee apparaten wilt verdelen om de doorvoer te maximaliseren. Het wordt ook gebruikt voor redundantiedoeleinden, dus als een ASA faalt, kan de andere het overnemen zonder een onderbreking van de service te veroorzaken.

    Werkingsmechanisme van ASA Actieve/Actieve Failover

    Elke context in Active/Active failover wordt handmatig toegewezen aan groep 1 of groep 2. De beheerderscontext wordt standaard toegewezen aan groep 1. Dezelfde groep (groep 1 of groep 2) in de twee chassis (eenheden) vormen een failover-paar dat de redundantiefunctie realiseert. Het gedrag van elk failover-paar is in principe hetzelfde als het gedrag in een Active/Standby-failover. Zie Actieve/Standby-failover configureren voor meer informatie over failover Active/Standby. In Active/Active failover heeft elke groep naast de rol (primair of secundair) van elk chassis ook een rol (primair of secundair). Deze rollen worden handmatig ingesteld door de gebruiker en worden gebruikt om de High Availability (HA)-status (Actief of Standby) voor elke failover-groep te bepalen.


    De beheerderscontext is een speciale context die zich bezighoudt met basischassisbeheer (zoals SSH-verbindingen). Dit is een image van Active/Active failover.

    Failover Pair In Active/Active FailoverFailoverpaar in actieve/actieve failover

    verkeersstroom

    In Active/Active failover kan het verkeer worden afgehandeld in de verschillende patronen die in de volgende afbeelding worden weergegeven.

    Traffic Flowverkeersstroom

    Verkeersstroomconditie 1

    • Primaire eenheid: Groep 1 = actief, Groep 2 = stand-by
    • Secundaire eenheid: Groep 1 = Stand-by, Groep 2 = Actief
    Traffic Flow Condition 1Verkeersstroomconditie 1

    Verkeersstroomconditie 2

    • Primaire eenheid: Groep 1 = actief, Groep 2 = actief
    • Secundaire eenheid: Groep 1 = stand-by, Groep 2 = stand-by
    Traffic Flow Condition 2Verkeersstroomconditie 2

    Verkeersstroomconditie 3

    • Primaire eenheid: groep 1 = stand-by, groep 2 = actief
    • Secundaire eenheid: Groep 1 = actief, Groep 2 = stand-by
    Traffic Flow Condition 3Verkeersstroomconditie 3

    Verkeersstroomconditie 4

    • Primaire eenheid: groep 1 = stand-by, groep 2 = stand-by
    • Secundaire eenheid: Groep 1 = actief, Groep 2 = actief

      Traffic Flow Condition 4Verkeersstroomconditie 4

    Selectieregels voor actieve/standby

    Bij actieve/actieve failover wordt de status (actief/standby) van elke groep bepaald door de volgende regels:

    • Stel dat 2 apparaten bijna tegelijkertijd opstarten, dan wordt een van de apparaten (Primair of Secundair) eerst actief.
    • Wanneer de voorkeurstijd is verstreken, wordt de groep die dezelfde rol speelt in het chassis en de groep actief.
    • Wanneer er een failover-gebeurtenis is (zoals interface DOWN), verandert de status van de groep op dezelfde manier als bij Active/Standby-failover.
    • De voorkeurstijd werkt niet na handmatig failover te hebben gedaan.

    Dit is een voorbeeld van de statuswijziging.

    • Beide apparaten worden bijna tegelijkertijd opgestart. Status A
    • De voorkeurstijd is verstreken. Status B
    • Falen van primair apparaat (failover wordt geactiveerd). Status C
    • Er is een voorkeurstijd verstreken sinds het primaire apparaat van een storing is hersteld. Status D
    • Handmatig failover activeren. Status E 

    Zie Failover-gebeurtenissen voor meer informatie over failover-triggers en gezondheidsbewaking.

    1. Beide apparaten worden bijna tegelijkertijd opgestart.

    Status AStatus A

    2. Voorrang genomen tijd (30s in dit document) verstreken.

    Status BStatus B

    3. Falen (zoals Interface Down) trad op in groep 1 van de primaire eenheid.

    Status CStatus C

    4. Voorrangstijd (30s in dit document) verstreken sinds groep 1 van primair apparaat hersteld is van een storing.

    Status DStatus D

    5. Groep 2 van de primaire eenheid handmatig instellen op Actief.

    Status EStatus E

    Netwerkdiagram

    In dit document worden de configuratie en verificatie voor Active/Active failover-basis op dit diagram geïntroduceerd.

    Logical Configuration Diagramlogisch configuratiediagram

    Physical Configuration Diagramfysiek configuratiediagram

    Configuratie

    Stap 1. Interfaces vooraf configureren

    Log voor beide Firepower in op de FCM GUI. Navigeer naar Logische apparaten > Bewerken. Voeg data-interface toe aan ASA, zoals getoond in de afbeelding.

    Pre-configure InterfacesInterfaces vooraf configureren

    Stap 2. Configuratie op primaire eenheid

    Verbinding maken met de primaire FXOS CLI via SSH of console. Uitvoeren  connect module 1 console en opdracht connect asaom ASA CLI in te voeren.

    a. Failover configureren op de primaire eenheid (voer de opdracht uit in de systeemcontext van de primaire eenheid).

    failover lan unit primary
failover lan interface fover E1/4
failover link fover_link E1/8
failover interface ip fover 192.168.240.254 255.255.255.0 standby 192.168.240.253
failover interface ip fover_link 192.168.250.254 255.255.255.0 standby 192.168.250.253
failover group 1   <--- group 1 is assigned to primary by default 
preempt 30
failover group 2
secondary
preempt 30
failover
prompt hostname state priority context

    b. De failover-groep configureren voor context (voer de opdracht uit in de systeemcontext van de primaire eenheid).

    admin-context admin
context admin         <--- admin context is assigned to group 1 by default
allocate-interface E1/3
config-url disk0:/admin.cfg

context con1
allocate-interface E1/1
allocate-interface E1/2
config-url disk0:/con1.cfg
join-failover-group 1 <--- add con1 context to group 1
!
context con2
allocate-interface E1/5
allocate-interface E1/6
config-url disk0:/con2.cfg
join-failover-group 2 <--- add con2 context to group 2

    c. Uitvoeren changeto context con1om con1 context te verbinden vanuit systeemcontext. Configureer IP voor de interface van de con1 context (voer de opdracht uit in con1 context van de primaire eenheid).

    interface E1/1
nameif con1-inside
ip address 192.168.10.254 255.255.255.0 standby 192.168.10.253
security-level 100
no shutdown
interface E1/2
nameif con1-outside
ip address 192.168.20.254 255.255.255.0 standby 192.168.20.253
no shutdown

    d. Uitvoeren changeto context con2om con2 context te verbinden vanuit systeemcontext. Configureer IP voor de interface van de con2 context (voer de opdracht uit in con2 context van de primaire eenheid).

    interface E1/5
nameif con2-inside
ip address 192.168.30.254 255.255.255.0 standby 192.168.30.253
security-level 100
no shutdown
interface E1/6
nameif con2-outside
ip address 192.168.40.254 255.255.255.0 standby 192.168.40.253
no shutdown

    Stap 3. Configuratie op secundaire eenheid

    a. Verbinding maken met de secundaire FXOS CLI via SSH of console. Failover configureren op de secundaire eenheid (voer de opdracht uit in systeemcontext van de secundaire eenheid).

    failover lan unit secondary
failover lan interface fover E1/4
failover link fover_link E1/8
failover interface ip fover 192.168.240.254 255.255.255.0 standby 192.168.240.253
failover interface ip fover_link 192.168.250.254 255.255.255.0 standby 192.168.250.253

    b. Uitvoeren failover, opdracht (uitvoeren in systeemcontext van de secundaire eenheid).

    failover

    Stap 4. Status van failover bevestigen nadat synchronisatie is voltooid

    a. Uitvoerenshow failoverin systeemcontext van Secundaire eenheid.

    asa# show failover 
Failover On 
Failover unit Secondary
Failover LAN Interface: fover Ethernet1/4 (up)
Version: Ours 9.18(3)56, Mate 9.18(3)56
Serial Number: Ours FCH23157YFY, Mate FCH23037U8R
Group 1 last failover at: 17:00:56 JST Jan 11 2024
Group 2 last failover at: 17:00:56 JST Jan 11 2024

This host: Secondary    <--- group 1 and group 2 are Standby status in Secondary Unit
Group 1 State: Standby Ready
Active time: 0 (sec)
Group 2 State: Standby Ready
Active time: 945 (sec)

con1 Interface con1-inside (192.168.10.253): Unknown (Waiting)
con1 Interface con1-outside (192.168.20.253): Unknown (Waiting)
con2 Interface con2-inside (192.168.30.253): Unknown (Waiting)
con2 Interface con2-outside (192.168.40.253): Normal (Waiting)

Other host: Primary    <--- group 1 and group 2 are Active status in Primary Unit
Group 1 State: Active
Active time: 1637 (sec)
Group 2 State: Active
Active time: 93 (sec)

con1 Interface con1-inside (192.168.10.254): Normal (Monitored)
con1 Interface con1-outside (192.168.20.254): Normal (Monitored)
con2 Interface con2-inside (192.168.30.254): Normal (Waiting)
con2 Interface con2-outside (192.168.40.254): Normal (Waiting)

Stateful Failover Logical Update Statistics
Link : fover_link Ethernet1/8 (up)

    b. (Optioneel) Voer de opdracht  no failover active group 2  uit om groep 2 van de hoofdeenheid handmatig naar de stand-bystatus te switches (uitgevoerd in systeemcontext van de hoofdeenheid). Hierdoor kan de verkeersbelasting via de firewall in evenwicht worden gebracht.

    no failover active group 2
    note-icon

    Opmerking: Als u deze opdracht uitvoert, komt de status van failover overeen met verkeersstroomvoorwaarde 1.

    Verifiëren

    Wanneer E1/1 DOWN gaat, wordt de failover van groep 1 geactiveerd en nemen de data-interfaces aan de standby-zijde (secundaire eenheid) het IP- en MAC-adres van de oorspronkelijke actieve interface over, zodat het verkeer (FTP-verbinding in dit document) continu door ASA's wordt doorgegeven. 

    Before Link DownVoor link downDuring Link DownTijdens link down

    Failover TriggeredFailover geactiveerd

    Stap 1. FTP-verbinding starten van Win10-01 naar Win10-02

    Stap 2. Bevestig FTP-verbinding vóór failover

    Uitvoeren changeto context con1om con1 context te verbinden vanuit systeemcontext. Bevestig dat er een FTP-verbinding tot stand is gebracht in beide ASA-eenheden.

    asa/act/pri/con1# show conn
5 in use, 11 most used
    
! --- Confirm the connection in Primary Unit
TCP con1-outside 192.168.20.1:21 con1-inside 192.168.10.1:49703, idle 0:00:11, bytes 528, flags UIO

asa/stby/sec/con1# show conn
5 in use, 11 most used
    
! --- Confirm the connection in Secondary Unit
TCP con1-outside 192.168.20.1:21 con1-inside 192.168.10.1:49703, idle 0:00:14, bytes 528, flags UIO

    Stap 3. LinkDOWN E1/1 van de primaire eenheid

    Stap 4. Failoverstatus bevestigen

    Bevestig in systeemcontext dat failover plaatsvindt in groep 1.

    note-icon

    Opmerking: De status van failover komt overeen met de verkeersstroomvoorwaarde 4.

    asa/act/sec# show failover 
Failover On 
Failover unit Secondary
Failover LAN Interface: fover Ethernet1/4 (up)
......
Group 1 last failover at: 20:00:16 JST Jan 11 2024
Group 2 last failover at: 17:02:33 JST Jan 11 2024

This host: Secondary
Group 1 State: Active  <--- group 1 of Secondary Unit is Switching to Active
Active time: 5 (sec)
Group 2 State: Active
Active time: 10663 (sec)

con1 Interface con1-inside (192.168.10.254): Normal (Waiting)
con1 Interface con1-outside (192.168.20.254): Normal (Waiting)
con2 Interface con2-inside (192.168.30.254): Normal (Monitored)
con2 Interface con2-outside (192.168.40.254): Normal (Monitored)

Other host: Primary
Group 1 State: Failed  <--- group 1 of Primary Unit is Switching to Failed status
Active time: 434 (sec)
Group 2 State: Standby Ready
Active time: 117 (sec)

con1 Interface con1-inside (192.168.10.253): Failed (Waiting)
con1 Interface con1-outside (192.168.20.253): Normal (Waiting)
con2 Interface con2-inside (192.168.30.253): Normal (Monitored)
con2 Interface con2-outside (192.168.40.253): Normal (Monitored)

    Stap 5. Bevestig FTP-verbinding na failover

    Uitvoeren changeto context con1om con1 context te verbinden vanuit systeemcontext, bevestigen dat de FTP-verbinding niet wordt onderbroken.

    asa/act/sec# changeto context con1
asa/act/sec/con1# show conn
11 in use, 11 most used

    ! --- Confirm the target FTP connection exists in group 1 of the Secondary Unit
TCP con1-outside 192.168.20.1:21 con1-inside 192.168.10.1:49703, idle 0:00:09, bytes 529, flags UIO 

    Stap 6. Bevestig gedrag van voorkeurstijd

    LinkUP E1/1 van de primaire eenheid en wacht 30s (voorkeurstijd), de failover-status keert terug naar de oorspronkelijke status (overeenkomende verkeersstroom in patroon 1).

    asa/stby/pri# 
Group 1 preempt mate    <--- Failover is triggered automatically, after the preempt time has passed

asa/act/pri# show failover 
Failover On 
Failover unit Primary
Failover LAN Interface: fover Ethernet1/4 (up)
......
Group 1 last failover at: 11:02:33 UTC Jan 11 2024
Group 2 last failover at: 08:02:45 UTC Jan 11 2024

This host: Primary
Group 1 State: Active  <--- group 1 of Primary Unit is switching to Active status
Active time: 34 (sec)
Group 2 State: Standby Ready
Active time: 117 (sec)

con1 Interface con1-inside (192.168.10.254): Normal (Monitored)
con1 Interface con1-outside (192.168.20.254): Normal (Monitored)
con2 Interface con2-inside (192.168.30.253): Normal (Monitored)
con2 Interface con2-outside (192.168.40.253): Normal (Monitored)

Other host: Secondary
Group 1 State: Standby Ready  <---- group 1 of Secondary Unit is switching to Standby status
Active time: 125 (sec)
Group 2 State: Active
Active time: 10816 (sec)

con1 Interface con1-inside (192.168.10.253): Normal (Monitored)
con1 Interface con1-outside (192.168.20.253): Normal (Monitored)
con2 Interface con2-inside (192.168.30.254): Normal (Monitored)
con2 Interface con2-outside (192.168.40.254): Normal (Monitored)

    Virtueel MAC-adres

    In Active/Active failover wordt altijd een virtueel MAC-adres (handmatig ingestelde waarde, automatisch gegenereerde waarde of standaardwaarde) gebruikt. Het actieve virtuele MAC-adres is gekoppeld aan de actieve interface. 

    Handmatig instellen van virtueel MAC-adres

    Om het virtuele MAC-adres voor fysieke interfaces handmatig in te stellen, kan de mac addressopdracht of de mac-addressopdracht (in de I/F-instellingsmodus) worden gebruikt. Dit is een voorbeeld van het handmatig instellen van een virtueel MAC-adres voor de fysieke interface E1/1.

    caution-icon

    Let op: gebruik deze twee typen opdrachten niet op hetzelfde apparaat.

    asa/act/pri(config)# failover group 1
asa/act/pri(config-fover-group)# mac address E1/1 1234.1234.0001 1234.1234.0002

asa/act/pri(config-fover-group)# changeto context con1
asa/act/pri/con1(config)# show interface E1/1 | in MAC
MAC address 1234.1234.0001, MTU 1500 <--- Checking virtual MAC on the Primary Unit(con1) side

asa/stby/sec# changeto context con1
asa/stby/sec/con1# show interface E1/1 | in MAC
MAC address 1234.1234.0002, MTU 1500 <--- Checking virtual MAC on the Secondary Unit(con1) side

    OF

    asa/act/pri(config)# changeto context con1
asa/act/pri/con1(config)# int E1/1
asa/act/pri/con1(config-if)# mac-addr 1234.1234.0001 standby 1234.1234.0002

asa/act/pri/con1(config)# show interface E1/1 | in MAC
MAC address 1234.1234.0001, MTU 1500 <--- Checking virtual MAC on the Primary Unit(con1) side

asa/stby/sec# changeto context con1
asa/stby/sec/con1# show interface E1/1 | in MAC
MAC address 1234.1234.0002, MTU 1500<--- Checking virtual MAC on the Secondary Unit(con1) side

    Automatisch instellen van virtueel MAC-adres

    Automatisch genereren van virtueel MAC-adres wordt ook ondersteund. Dit kan door gebruik te maken van het mac-address auto commando. Het formaat van het virtuele MAC-adres is A2.xx.yyzz.zzzz dat automatisch wordt gegenereerd.
    A2: vaste waarde
    xx.yy: gegenereerd door het <prefix> opgegeven in de opdrachtoptie (het prefix wordt omgezet in hexadecimaal en vervolgens ingevoegd in omgekeerde volgorde). 
    zz.zzzz: gegenereerd door een interne teller

    Dit is een voorbeeld van het genereren van een virtueel MAC-adres met  mac-address auto  opdracht voor de interface.

    asa/act/pri(config)# mac-address auto 
INFO: Converted to mac-address auto prefix 31

asa/act/pri(config)# show run all context con1 <--- Checking the virtual MAC addresses generated on con1 context
allocate-interface Ethernet1/1 
mac-address auto Ethernet1/1 a21f.0000.0008 a21f.0000.0009
allocate-interface Ethernet1/2 
mac-address auto Ethernet1/2 a21f.0000.000a a21f.0000.000b
config-url disk0:/con1.cfg
join-failover-group 1

asa/act/pri(config)# show run all context con2 <--- Checking the virtual MAC addresses generated on con2 context
context con2
allocate-interface Ethernet1/5 
mac-address auto Ethernet1/5 a21f.0000.000c a21f.0000.000d
allocate-interface Ethernet1/6 
mac-address auto Ethernet1/6 a21f.0000.000e a21f.0000.000f
config-url disk0:/con2.cfg
join-failover-group 2    

    Standaardinstelling van virtueel MAC-adres

    Als noch automatische noch handmatige generatie van een virtueel MAC-adres is ingesteld, wordt het standaard virtuele MAC-adres gebruikt.

    Raadpleeg voor meer informatie over het standaard virtuele MAC-adres de Command Default of mac address in Cisco Secure Firewall ASA Series Command Reference Guide.

    Upgraden

    U kunt een upgrade zonder downtime van een Active/Active failover-paar uitvoeren met CLI of ASDM. Raadpleeg Een actief/actief failoverpaar upgraden voor meer informatie.

    Gerelateerde informatie

    Revisiegeschiedenis

    Revisie Publicatiedatum Opmerkingen
    1.0
    07-Feb-2024
    Eerste vrijgave
    TAC Authored

    Bijgedragen door Cisco-engineers

    • Jian Zhang
      Technisch consultant van Cisco

    Was dit document nuttig?

    FeedbackFeedback

    Contact Cisco

    Dit document is van toepassing op deze producten