De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.
Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.
In dit document wordt beschreven hoe u Active/Active Failover configureert in Cisco Firepower 4145 NGFW Appliance.
Cisco raadt je aan om kennis te hebben van dit onderwerp:
De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.
Actieve/actieve failover is alleen beschikbaar voor beveiligingstoestellen die in de modus voor meerdere contexten worden uitgevoerd. In deze modus is de ASA logisch onderverdeeld in meerdere virtuele apparaten, bekend als contexten. Elke context werkt als een onafhankelijk apparaat, met een eigen beveiligingsbeleid, interfaces en beheerders.
De Active/Active failover is een functie van Adaptive Security Appliance (ASA) waarmee twee Firepower-apparaten tegelijkertijd het verkeer kunnen passeren. Deze configuratie wordt meestal gebruikt voor een scenario voor taakverdeling waarbij u het verkeer tussen twee apparaten wilt verdelen om de doorvoer te maximaliseren. Het wordt ook gebruikt voor redundantiedoeleinden, dus als een ASA faalt, kan de andere het overnemen zonder een onderbreking van de service te veroorzaken.
Elke context in Active/Active failover wordt handmatig toegewezen aan groep 1 of groep 2. De beheerderscontext wordt standaard toegewezen aan groep 1. Dezelfde groep (groep 1 of groep 2) in de twee chassis (eenheden) vormen een failover-paar dat de redundantiefunctie realiseert. Het gedrag van elk failover-paar is in principe hetzelfde als het gedrag in een Active/Standby-failover. Zie Actieve/Standby-failover configureren voor meer informatie over failover Active/Standby. In Active/Active failover heeft elke groep naast de rol (primair of secundair) van elk chassis ook een rol (primair of secundair). Deze rollen worden handmatig ingesteld door de gebruiker en worden gebruikt om de High Availability (HA)-status (Actief of Standby) voor elke failover-groep te bepalen.
De beheerderscontext is een speciale context die zich bezighoudt met basischassisbeheer (zoals SSH-verbindingen). Dit is een image van Active/Active failover.
Failoverpaar in actieve/actieve failover
In Active/Active failover kan het verkeer worden afgehandeld in de verschillende patronen die in de volgende afbeelding worden weergegeven.
Verkeersstroomconditie 4
Bij actieve/actieve failover wordt de status (actief/standby) van elke groep bepaald door de volgende regels:
Dit is een voorbeeld van de statuswijziging.
Zie Failover-gebeurtenissen voor meer informatie over failover-triggers en gezondheidsbewaking.
1. Beide apparaten worden bijna tegelijkertijd opgestart.
Status A
2. Voorrang genomen tijd (30s in dit document) verstreken.
Status B
3. Falen (zoals Interface Down) trad op in groep 1 van de primaire eenheid.
Status C
4. Voorrangstijd (30s in dit document) verstreken sinds groep 1 van primair apparaat hersteld is van een storing.
Status D
5. Groep 2 van de primaire eenheid handmatig instellen op Actief.
Status E
In dit document worden de configuratie en verificatie voor Active/Active failover-basis op dit diagram geïntroduceerd.
logisch configuratiediagram
fysiek configuratiediagram
Log voor beide Firepower in op de FCM GUI. Navigeer naar Logische apparaten > Bewerken. Voeg data-interface toe aan ASA, zoals getoond in de afbeelding.
Interfaces vooraf configureren
Verbinding maken met de primaire FXOS CLI via SSH of console. Uitvoeren connect module 1 console
en opdracht connect asa
om ASA CLI in te voeren.
a. Failover configureren op de primaire eenheid (voer de opdracht uit in de systeemcontext van de primaire eenheid).
failover lan unit primary
failover lan interface fover E1/4
failover link fover_link E1/8
failover interface ip fover 192.168.240.254 255.255.255.0 standby 192.168.240.253
failover interface ip fover_link 192.168.250.254 255.255.255.0 standby 192.168.250.253
failover group 1 <--- group 1 is assigned to primary by default
preempt 30
failover group 2
secondary
preempt 30
failover
prompt hostname state priority context
b. De failover-groep configureren voor context (voer de opdracht uit in de systeemcontext van de primaire eenheid).
admin-context admin
context admin <--- admin context is assigned to group 1 by default
allocate-interface E1/3
config-url disk0:/admin.cfg
context con1
allocate-interface E1/1
allocate-interface E1/2
config-url disk0:/con1.cfg
join-failover-group 1 <--- add con1 context to group 1
!
context con2
allocate-interface E1/5
allocate-interface E1/6
config-url disk0:/con2.cfg
join-failover-group 2 <--- add con2 context to group 2
c. Uitvoeren changeto context con1
om con1 context te verbinden vanuit systeemcontext. Configureer IP voor de interface van de con1 context (voer de opdracht uit in con1 context van de primaire eenheid).
interface E1/1
nameif con1-inside
ip address 192.168.10.254 255.255.255.0 standby 192.168.10.253
security-level 100
no shutdown
interface E1/2
nameif con1-outside
ip address 192.168.20.254 255.255.255.0 standby 192.168.20.253
no shutdown
d. Uitvoeren changeto context con2
om con2 context te verbinden vanuit systeemcontext. Configureer IP voor de interface van de con2 context (voer de opdracht uit in con2 context van de primaire eenheid).
interface E1/5
nameif con2-inside
ip address 192.168.30.254 255.255.255.0 standby 192.168.30.253
security-level 100
no shutdown
interface E1/6
nameif con2-outside
ip address 192.168.40.254 255.255.255.0 standby 192.168.40.253
no shutdown
a. Verbinding maken met de secundaire FXOS CLI via SSH of console. Failover configureren op de secundaire eenheid (voer de opdracht uit in systeemcontext van de secundaire eenheid).
failover lan unit secondary
failover lan interface fover E1/4
failover link fover_link E1/8
failover interface ip fover 192.168.240.254 255.255.255.0 standby 192.168.240.253
failover interface ip fover_link 192.168.250.254 255.255.255.0 standby 192.168.250.253
b. Uitvoeren failover
, opdracht (uitvoeren in systeemcontext van de secundaire eenheid).
failover
a. Uitvoerenshow failover
in systeemcontext van Secundaire eenheid.
asa# show failover
Failover On
Failover unit Secondary
Failover LAN Interface: fover Ethernet1/4 (up)
Version: Ours 9.18(3)56, Mate 9.18(3)56
Serial Number: Ours FCH23157YFY, Mate FCH23037U8R
Group 1 last failover at: 17:00:56 JST Jan 11 2024
Group 2 last failover at: 17:00:56 JST Jan 11 2024
This host: Secondary <--- group 1 and group 2 are Standby status in Secondary Unit
Group 1 State: Standby Ready
Active time: 0 (sec)
Group 2 State: Standby Ready
Active time: 945 (sec)
con1 Interface con1-inside (192.168.10.253): Unknown (Waiting)
con1 Interface con1-outside (192.168.20.253): Unknown (Waiting)
con2 Interface con2-inside (192.168.30.253): Unknown (Waiting)
con2 Interface con2-outside (192.168.40.253): Normal (Waiting)
Other host: Primary <--- group 1 and group 2 are Active status in Primary Unit
Group 1 State: Active
Active time: 1637 (sec)
Group 2 State: Active
Active time: 93 (sec)
con1 Interface con1-inside (192.168.10.254): Normal (Monitored)
con1 Interface con1-outside (192.168.20.254): Normal (Monitored)
con2 Interface con2-inside (192.168.30.254): Normal (Waiting)
con2 Interface con2-outside (192.168.40.254): Normal (Waiting)
Stateful Failover Logical Update Statistics
Link : fover_link Ethernet1/8 (up)
b. (Optioneel) Voer de opdracht no failover active group 2
uit om groep 2 van de hoofdeenheid handmatig naar de stand-bystatus te switches (uitgevoerd in systeemcontext van de hoofdeenheid). Hierdoor kan de verkeersbelasting via de firewall in evenwicht worden gebracht.
no failover active group 2
Opmerking: Als u deze opdracht uitvoert, komt de status van failover overeen met verkeersstroomvoorwaarde 1.
Wanneer E1/1 DOWN gaat, wordt de failover van groep 1 geactiveerd en nemen de data-interfaces aan de standby-zijde (secundaire eenheid) het IP- en MAC-adres van de oorspronkelijke actieve interface over, zodat het verkeer (FTP-verbinding in dit document) continu door ASA's wordt doorgegeven.
Voor link down
Tijdens link down
Failover geactiveerd
Uitvoeren changeto context con1
om con1 context te verbinden vanuit systeemcontext. Bevestig dat er een FTP-verbinding tot stand is gebracht in beide ASA-eenheden.
asa/act/pri/con1# show conn
5 in use, 11 most used
! --- Confirm the connection in Primary Unit
TCP con1-outside 192.168.20.1:21 con1-inside 192.168.10.1:49703, idle 0:00:11, bytes 528, flags UIO
asa/stby/sec/con1# show conn
5 in use, 11 most used
! --- Confirm the connection in Secondary Unit
TCP con1-outside 192.168.20.1:21 con1-inside 192.168.10.1:49703, idle 0:00:14, bytes 528, flags UIO
Bevestig in systeemcontext dat failover plaatsvindt in groep 1.
Opmerking: De status van failover komt overeen met de verkeersstroomvoorwaarde 4.
asa/act/sec# show failover
Failover On
Failover unit Secondary
Failover LAN Interface: fover Ethernet1/4 (up)
......
Group 1 last failover at: 20:00:16 JST Jan 11 2024
Group 2 last failover at: 17:02:33 JST Jan 11 2024
This host: Secondary
Group 1 State: Active <--- group 1 of Secondary Unit is Switching to Active
Active time: 5 (sec)
Group 2 State: Active
Active time: 10663 (sec)
con1 Interface con1-inside (192.168.10.254): Normal (Waiting)
con1 Interface con1-outside (192.168.20.254): Normal (Waiting)
con2 Interface con2-inside (192.168.30.254): Normal (Monitored)
con2 Interface con2-outside (192.168.40.254): Normal (Monitored)
Other host: Primary
Group 1 State: Failed <--- group 1 of Primary Unit is Switching to Failed status
Active time: 434 (sec)
Group 2 State: Standby Ready
Active time: 117 (sec)
con1 Interface con1-inside (192.168.10.253): Failed (Waiting)
con1 Interface con1-outside (192.168.20.253): Normal (Waiting)
con2 Interface con2-inside (192.168.30.253): Normal (Monitored)
con2 Interface con2-outside (192.168.40.253): Normal (Monitored)
Uitvoeren changeto context con1
om con1 context te verbinden vanuit systeemcontext, bevestigen dat de FTP-verbinding niet wordt onderbroken.
asa/act/sec# changeto context con1
asa/act/sec/con1# show conn
11 in use, 11 most used
! --- Confirm the target FTP connection exists in group 1 of the Secondary Unit
TCP con1-outside 192.168.20.1:21 con1-inside 192.168.10.1:49703, idle 0:00:09, bytes 529, flags UIO
LinkUP E1/1 van de primaire eenheid en wacht 30s (voorkeurstijd), de failover-status keert terug naar de oorspronkelijke status (overeenkomende verkeersstroom in patroon 1).
asa/stby/pri#
Group 1 preempt mate <--- Failover is triggered automatically, after the preempt time has passed
asa/act/pri# show failover
Failover On
Failover unit Primary
Failover LAN Interface: fover Ethernet1/4 (up)
......
Group 1 last failover at: 11:02:33 UTC Jan 11 2024
Group 2 last failover at: 08:02:45 UTC Jan 11 2024
This host: Primary
Group 1 State: Active <--- group 1 of Primary Unit is switching to Active status
Active time: 34 (sec)
Group 2 State: Standby Ready
Active time: 117 (sec)
con1 Interface con1-inside (192.168.10.254): Normal (Monitored)
con1 Interface con1-outside (192.168.20.254): Normal (Monitored)
con2 Interface con2-inside (192.168.30.253): Normal (Monitored)
con2 Interface con2-outside (192.168.40.253): Normal (Monitored)
Other host: Secondary
Group 1 State: Standby Ready <---- group 1 of Secondary Unit is switching to Standby status
Active time: 125 (sec)
Group 2 State: Active
Active time: 10816 (sec)
con1 Interface con1-inside (192.168.10.253): Normal (Monitored)
con1 Interface con1-outside (192.168.20.253): Normal (Monitored)
con2 Interface con2-inside (192.168.30.254): Normal (Monitored)
con2 Interface con2-outside (192.168.40.254): Normal (Monitored)
In Active/Active failover wordt altijd een virtueel MAC-adres (handmatig ingestelde waarde, automatisch gegenereerde waarde of standaardwaarde) gebruikt. Het actieve virtuele MAC-adres is gekoppeld aan de actieve interface.
Om het virtuele MAC-adres voor fysieke interfaces handmatig in te stellen, kan de mac address
opdracht of de mac-address
opdracht (in de I/F-instellingsmodus) worden gebruikt. Dit is een voorbeeld van het handmatig instellen van een virtueel MAC-adres voor de fysieke interface E1/1.
Let op: gebruik deze twee typen opdrachten niet op hetzelfde apparaat.
asa/act/pri(config)# failover group 1
asa/act/pri(config-fover-group)# mac address E1/1 1234.1234.0001 1234.1234.0002
asa/act/pri(config-fover-group)# changeto context con1
asa/act/pri/con1(config)# show interface E1/1 | in MAC
MAC address 1234.1234.0001, MTU 1500 <--- Checking virtual MAC on the Primary Unit(con1) side
asa/stby/sec# changeto context con1
asa/stby/sec/con1# show interface E1/1 | in MAC
MAC address 1234.1234.0002, MTU 1500 <--- Checking virtual MAC on the Secondary Unit(con1) side
OF
asa/act/pri(config)# changeto context con1 asa/act/pri/con1(config)# int E1/1 asa/act/pri/con1(config-if)# mac-addr 1234.1234.0001 standby 1234.1234.0002 asa/act/pri/con1(config)# show interface E1/1 | in MAC MAC address 1234.1234.0001, MTU 1500 <--- Checking virtual MAC on the Primary Unit(con1) side asa/stby/sec# changeto context con1 asa/stby/sec/con1# show interface E1/1 | in MAC MAC address 1234.1234.0002, MTU 1500
<--- Checking virtual MAC on the Secondary Unit(con1) side
Automatisch genereren van virtueel MAC-adres wordt ook ondersteund. Dit kan door gebruik te maken van het mac-address auto
commando. Het formaat van het virtuele MAC-adres is A2.xx.yyzz.zzzz dat automatisch wordt gegenereerd.
A2: vaste waarde
xx.yy: gegenereerd door het <prefix> opgegeven in de opdrachtoptie (het prefix wordt omgezet in hexadecimaal en vervolgens ingevoegd in omgekeerde volgorde).
zz.zzzz: gegenereerd door een interne teller
Dit is een voorbeeld van het genereren van een virtueel MAC-adres met mac-address auto
opdracht voor de interface.
asa/act/pri(config)# mac-address auto
INFO: Converted to mac-address auto prefix 31
asa/act/pri(config)# show run all context con1 <--- Checking the virtual MAC addresses generated on con1 context
allocate-interface Ethernet1/1
mac-address auto Ethernet1/1 a21f.0000.0008 a21f.0000.0009
allocate-interface Ethernet1/2
mac-address auto Ethernet1/2 a21f.0000.000a a21f.0000.000b
config-url disk0:/con1.cfg
join-failover-group 1
asa/act/pri(config)# show run all context con2 <--- Checking the virtual MAC addresses generated on con2 context
context con2
allocate-interface Ethernet1/5
mac-address auto Ethernet1/5 a21f.0000.000c a21f.0000.000d
allocate-interface Ethernet1/6
mac-address auto Ethernet1/6 a21f.0000.000e a21f.0000.000f
config-url disk0:/con2.cfg
join-failover-group 2
Als noch automatische noch handmatige generatie van een virtueel MAC-adres is ingesteld, wordt het standaard virtuele MAC-adres gebruikt.
Raadpleeg voor meer informatie over het standaard virtuele MAC-adres de Command Default of mac address in Cisco Secure Firewall ASA Series Command Reference Guide.
U kunt een upgrade zonder downtime van een Active/Active failover-paar uitvoeren met CLI of ASDM. Raadpleeg Een actief/actief failoverpaar upgraden voor meer informatie.
Revisie | Publicatiedatum | Opmerkingen |
---|---|---|
1.0 |
07-Feb-2024 |
Eerste vrijgave |