通过故障转移实现高可用性

本章介绍如何配置主用/备用或主用/主用故障转移来实现 ASA 的高可用性。

关于故障转移

配置故障转移需要通过专用故障转移链路和状态链路(可选)相互连接的两台相同的 ASA。主用单元和接口的运行状况会受到监控,以便确定它们是否满足特定故障转移条件的时刻。如果符合这些条件,将执行故障转移。

故障转移模式

ASA 支持两种故障转移模式,主用/主用故障转移和主用/备用故障转移。每种故障转移模式都有自己确定和执行故障转移的方法。

  • 如发生主用/备用故障转移,其中一个设备是主用设备,并传递流量。第二台设备指定为备用设备,不会主动传送流量。发生故障转移时,主用设备会故障转移到备用设备,后者随即变为主用状态。您可以在单情景模式或多情景模式下为 ASA 使用主用/备用故障转移。

  • 在主用/主用故障转移配置中,两台 ASA 均可传递网络流量。主用/主用故障转移仅在多情景模式下适用于 ASA。在主用/主用故障转移中,将 ASA 上的安全情景划分为 2 个故障转移组。故障转移组就是一个或多个安全情景的逻辑组。一个组被指定为主 ASA 上的活动组,另一个组被指定为辅助 ASA 上的活动组。发生故障转移时,会在故障转移组级别进行。

两种故障转移模式都支持状态或无状态故障转移。

故障转移系统要求

本部分介绍在故障转移配置中对于 ASA 的硬件、软件和许可证要求。

硬件要求

故障转移配置中的两台设备必须:

  • 型号相同。

    对于 Firepower 9300,高可用性仅在同种类型模块之间受支持;但是两个机箱可以包含混合模块。例如,每个机箱都设有 SM-56、SM-48 和 SM-40。可以在 SM-56 模块之间、SM-48 模块之间和 SM-40 模块之间创建高可用性对。

  • 拥有相同数量和类型的接口。

    对于平台模式下的Firepower 4100/9300 机箱,在启用之前,所有接口都必须在 FXOS 中进行相同的预配置。故障转移如果您在启用故障转移后更改接口,请在备用设备上的 FXOS 中更改接口,然后在主用设备上进行相同更改。 如果在 FXOS 中删除一个接口(例如,如果您移除网络模块,移除 EtherChannel,或将某个接口重新分配到 EtherChannel),则 ASA 配置会保留原始命令,以便您可以进行任何必要的调整;从配置中删除接口会产生广泛的影响。您可以在 ASA OS 中手动移除旧的接口配置。

  • 安装有相同的模块(如有)。

  • 安装有相同的 RAM。

如果在 故障转移 配置中使用闪存大小不同的设备,请确保闪存较小的设备具有足够的空间来容纳软件映像文件和配置文件。如果闪存较小的设备没有足够的空间,从闪存较大的设备向闪存较小的设备进行配置同步将会失败。

软件要求

故障转移 配置中的两台设备必须:

  • 处于相同的情景模式(单情景或多情景)。

  • 单一模式下:处于相同的防火墙模式(路由或透明)。

    在多情景模式下,防火墙模式在情景级别设置,您可以使用混合模式。

  • 具有相同的主要(第一个数字)和次要(第二个数字)软件版本。但是,您可以在升级过程中临时使用不同的软件版本;例如,可以将一台设备从 8.3(1) 版本升级到 8.3(2) 版本,并使故障转移保持主用状态。我们建议将两台设备都升级为相同版本,以便确保长期的兼容性。

  • 具有相同的 Secure Client 映像。如果在执行无中断升级时,故障转移对具有不匹配的映像,则无客户端 SSL VPN 连接会在升级过程的最终重新启动步骤终止,数据库会显示一个孤立会话,并且 IP 池会显示分配给客户端的 IP 地址“正在使用中”。

  • 处于相同的 FIPS 模式下。

  • Firepower 4100/9300)具有相同的流量分流模式,同时启用或禁用。

许可证要求

故障转移配置下的两台设备不需要具有相同的许可证;许可证将整合为故障转移集群许可证。

故障转移和状态故障转移链路

故障转移链路和可选的有状态故障转移链路是两台设备之间的专用连接。思科建议在故障转移链路或状态故障转移链路中的两台设备之间使用同一接口。例如,在故障转移链路中,如果您在设备 1 中使用的是 eth0,也要在设备 2 中使用相同的接口,即还是 eth0。


小心


除非您使用 IPsec 隧道或故障转移密钥保护通信,否则所有信息会以明文形式通过故障转移和状态链路发送。如果使用 ASA 端接 VPN 隧道,则此信息包括用于建立隧道的任何用户名、密码和预共享密钥。以明文发送此敏感数据可能会带来严重的安全风险。如果您使用 ASA 来端接 VPN 隧道,我们建议使用 IPsec 隧道或故障转移密钥来保护故障转移通信。


故障转移链路

故障转移对中的两台设备会不断地通过故障转移链路进行通信,以便确定每台设备的运行状态。

故障转移链路数据

以下信息将通过故障转移链路传输:

  • 设备状态(主用或备用)

  • Hello 消息 (keep-alives)

  • 网络链路状态

  • MAC 地址交换

  • 配置复制和同步

故障转移链路接口

您可以使用未使用的数据接口(物理接口、子接口 EtherChannel 接口)作为故障转移链路;但不能指定当前已配置名称的接口。故障转移链路接口不会配置为常规网络接口;该接口仅会因为故障转移而存在。该接口只能用于故障转移链路(还用于状态链路)。大多数型号不能使用管理接口进行故障转移,除非明确作出如下说明。

ASA 用户数据和故障转移链路之间共享接口。 您也不能在同一父接口上使用单独的子接口用于故障转移链路和数据

请参阅下列有关故障转移链路的准则:

  • 5506-X 至 5555-X - 不能使用管理接口作为故障转移链路;您必须使用数据接口。5506H-X 是唯一的例外情况,您可以在其中将管理接口用作故障转移链路。

  • 5506H-X - 您可以使用管理 1/1 接口作为故障转移链路。如果配置该接口作为故障转移接口,您必须重新加载设备,更改才能生效。在这种情况下,您也不能使用 ASA Firepower 模块,因为该模块需要使用管理接口实现管理目的。

  • Firepower 4100/9300- 我们建议您将一个 10 GB 数据接口用于组合的故障转移和状态链路。 不能使用管理类型接口作为故障转移链路。

  • 所有其他型号 - 1 GB 接口对于组合的故障转移和状态链路而言已足够大。

交替频率等于设备保持时间failover polltime unit 命令)



如果配置较大且设备保持时间较短,则在成员接口之间交替可以防止辅助设备加入/重新加入。这种情况下,请禁用其中一个成员接口,直到辅助设备加入。


对于用作故障转移链路的 EtherChannel,要阻止无序数据包,仅使用 EtherChannel 中的一个接口。如果该接口发生故障,则会使用 EtherChannel 中的下一个接口。您不能在 EtherChannel 配置用作故障转移链路时对其进行修改。

连接故障转移链路

您可以使用以下两种方法之一连接故障转移链路:

  • 使用不与任何其他设备处于相同网段(广播域或 VLAN)的交换机作为 ASA 的故障转移接口。

  • 使用以太网电缆直接连接设备,无需外部交换机。

如果不在设备之间使用交换机,当接口出现故障时,两台对等体之间的链路将会断开。这种情况可能会妨碍故障排除工作,因为您无法轻松确定接口发生故障,导致链路断开的设备。

ASA在其铜缆以太网端口上支持自动 MDI/MDIX,因此您可以使用交叉电缆或直通电缆。如果使用的是直通电缆,接口会自动检测该电缆,并将其中一个发送/接收对交换为 MDIX。

状态故障转移链路

要使用有状态故障转移,必须配置有状态故障转移链路(也称为有状态链路),以便传送连接状态信息。

共享故障转移链路

共享故障转移链路是节约接口的最佳方式。但是,如果您有一个大型配置和高流量网络,必须考虑对状态链路和故障转移链路使用专用接口。

状态故障转移链路的专用接口

您可以将专用接口(物理或 EtherChannel)用于状态链路。有关专用状态链路的要求,请参阅故障转移链路接口,以及有关连接状态链路的信息,请参阅连接故障转移链路

使用长距离故障转移时,为实现最佳性能,状态链路的延迟应低于 10 毫秒且不超过 250 毫秒。如果延迟超过 10 毫秒,重新传输故障转移消息会导致一些性能降级。

避免中断故障转移和数据链路

我们建议,让故障转移链路和数据接口使用不同的路径,以便降低所有接口同时发生故障的可能性。如果故障转移链路发生故障,ASA 可使用数据接口来确定是否需要进行故障转移。随后,故障转移操作会被暂停,直到故障转移链路恢复正常。

请参阅以下连接情景,以设计具有弹性的故障转移网络。

情景 1 - 不推荐

如果单台交换机或一组交换机用于连接两台 ASA 之间的故障转移和数据接口,则交换机或交换机间链路发生故障时,两台 ASA 都都将处于主用状态。因此,不推荐使用下图中显示的 2 种连接方法。

图 1. 使用单交换机连接 - 不推荐
图 2. 使用双交换机连接 - 不推荐
情景 2 - 推荐

我们不推荐让故障转移链路和数据接口使用相同的交换机,而是应使用不同的交换机或使用直连电缆来连接故障转移链路,如下图所示。

图 3. 使用其他交换机连接
图 4. 通过缆线连接
情景 3 - 推荐

如果 ASA数据接口连接到多台交换机,则故障转移链路可以连接到其中一台交换机,最好是处于网络的安全一侧(内部)的交换机,如下图所示。

图 5. 使用安全交换机连接

故障转移中的 MAC 地址和 IP 地址

当您配置接口时,可以在相同网络上指定一个主用 IP 地址和一个备用 IP 地址。通常情况下,当发生故障转移时,新的主用设备会接管主用 IP 地址和 MAC 地址。由于网络设备不会发现 MAC 与 IP 地址配对的变化,网络上的任意位置都不会发生 ARP 条目变化或超时。



虽然建议指定备用 IP 地址,但它并不是必需的。如果没有备用 IP 地址,则主用设备无法执行用于检查备用接口运行状态的网络测试;它只能跟踪链路状态。此外,您也无法出于管理目的,连接到该接口上的备用设备。


在发生故障转移时,状态链路的 IP 地址和 MAC 地址不会更改。

主用/备用 IP 地址和 MAC 地址

对于主用/备用故障转移,请参阅下文,了解故障转移事件期间 IP 地址和 MAC 地址的使用情况:

  1. 主用设备始终使用主设备的 IP 地址和 MAC 地址。

  2. 当主用设备进行故障转移时,备用设备会使用故障设备的 IP 地址和 MAC 地址,并开始传送流量。

  3. 当故障设备恢复在线状态时,它现在处于备用状态,并且接管备用 IP 地址和 MAC 地址。

但如果辅助设备启动时未检测到主设备,辅助设备将成为主用设备,并使用其自己的 MAC 地址,因为它不知道主设备的 MAC 地址。当主设备变为可用时,辅助(主用)设备会将 MAC 地址更改为主设备的 MAC,这可能会导致网络流量中断。同样,如果您用新硬件替换主设备,将使用新 MAC 地址。

如果在禁用故障切换配置的情况下重新加载备用设备,则备用设备将作为主用设备启动,并使用主设备的 IP 地址和 MAC 地址。这会导致 IP 地址重复并导致网络流量中断。使用 命令 configure high-availability resume 启用故障切换并恢复流量。

使用虚拟 MAC 地址可防范这种中断,因为对于启动时的辅助设备,主用 MAC 地址是已知的,并在采用新的主设备硬件时保持不变。建议您在主设备和辅助设备上配置虚拟 MAC 地址,以确保辅助设备在作为主用设备时使用正确的 MAC 地址,即使它在主设备之前上线。如果您没有配置虚拟 MAC 地址,则可能需要清除连接的路由器上的 ARP 表,以便恢复流量。当 MAC 地址发生变化时,ASA不会发送静态 NAT 地址的免费 ARP,因此连接的路由器不会知道这些地址的 MAC 地址发生变化。

主用/主用 IP 地址和 MAC 地址

对于主用/主用故障转移,请参阅下文,了解故障转移事件期间 IP 地址和 MAC 地址的使用情况:

  1. 主设备为故障转移组 1 和 2 个情景中的所有接口自动生成主用和备用 MAC 地址。如有必要,例如 MAC 地址发生冲突时,您也可以手动配置 MAC 地址。

  2. 每台设备将主用 IP 地址和 MAC 地址用于其主用故障转移组,并将备用地址用于其备用故障转移组。例如,主设备是故障转移组 1 的主用设备,因此它使用故障转移组 1 中情景的主用地址。它是故障转移组 2 中情景的备用设备,因此在其中使用备用地址。

  3. 当设备进行故障转移时,另一个设备将会承担出现故障的故障转移组的主用 IP 地址和 MAC 地址,并开始传送流量。

  4. 当故障设备恢复在线状态,并且您已启用抢占选项时,它将恢复故障转移组。

虚拟 MAC 地址

ASA 有多种方法配置虚拟 MAC 地址。我们建议仅使用一种方法。如果使用多种方法设置 MAC 地址,所使用的 MAC 地址会取决于许多变量,可能会不可预测。手动方法包括接口模式 mac-address 命令、failover mac address 命令;对于主用/主用故障转移,除了以下所述的自动生成方法之外,还有故障转移组模式 mac address 命令。

在多情景模式下,您可以配置 ASA 自动为共享接口生成虚拟主用和备用 MAC 地址,然后将这些分配同步到辅助设备(请参阅 mac-address auto 命令)。对于非共享接口,您可以手动设置主用/备用模式的 MAC 地址(主用/主用模式会为所有接口自动生成 MAC 地址)。

对于主用/主用故障转移,始终将虚拟 MAC 地址与默认值或按接口设置的值一同使用。

无状态故障转移和有状态故障转移

对于主用/备用和主用/主用模式,ASA 支持两种故障转移类型:无状态和状态故障转移。



无客户端 SSL VPN 的某些配置元素(如书签和自定义)使用 VPN 故障转移子系统,该子系统是状态故障转移的一部分。您必须使用状态故障转移,在同步故障转移对中的成员之间同步这些元素。不推荐将无状态故障转移用于无客户端 SSL VPN。


无状态故障转移

发生故障转移时,所有活动连接将会被丢弃。在新的主用设备接管时,客户端需要重新建立连接。



无客户端 SSL VPN 的某些配置元素(如书签和自定义)使用 VPN 故障转移子系统,该子系统是状态故障转移的一部分。您必须使用状态故障转移,在同步故障转移对中的成员之间同步这些元素。不推荐将无状态(常规)故障转移用于无客户端 SSL VPN。


状态故障转移

启用状态故障转移时,主用设备会不断将每个连接的状态信息发送至备用设备,在主用/主用故障转移期间,在主用和备用故障转移组之间发送。发生故障转移之后,相同的连接信息在新主用设备上可用。支持的最终用户应用不需要通过重新连接来保持同一通信会话。

支持的功能

对于状态故障转移,以下状态信息会传送至备用 ASA

  • NAT 转换表。

  • TCP 和 UDP 连接和状态。其他类型的 IP 协议和 ICMP 不会通过主用设备解析,因为它们是在新数据包到达时在新的主用设备上建立的。

  • HTTP 连接表(除非启用 HTTP 复制)。

  • HTTP 连接状态(如果已启用 HTTP 复制)- 默认情况下,启用状态故障转移时,ASA 不会复制 HTTP 会话信息。建议启用 HTTP 复制。

  • SCTP 连接状态。但是,SCTP 检测状态故障转移是尽力而为。在故障转移期间,如果任何 SACK 数据包丢失,新的主用设备将丢弃队列中其他所有无序的数据包,直到收到缺失的数据包为止。

  • ARP 表

  • 第 2 层网桥表(适用于桥接组)

  • ISAKMP 和 IPsec SA 表

  • GTP PDP 连接数据库

  • SIP 信令会话和引脚。

  • ICMP 连接状态 - 仅当相应的接口分配给非对称路由组时,才会启用 ICMP 连接复制。

  • 静态和动态路由表 - 状态故障转移会参与动态路由协议(如 OSPF 和 EIGRP),因此通过主用设备上的动态路由协议获悉的路由,将会保留在备用设备的路由信息库 (RIB) 表中。发生故障转移事件时,数据包可以正常传输,并且只会对流量产生极小的影响,因为主用辅助设备一开始就具有镜像主设备的规则。进行故障转移后,新的主用设备上的重新融合计时器会立即启动。随后 RIB 表中的代编号将会增加。在重新融合期间,OSPF 和 EIGRP 路由将使用新的代编号进行更新。计时器到期后,过时的路由条目(由代编号确定)将从表中删除。于是 RIB 将包含新主用设备上的最新的路由协议转发信息。



    路由仅会因为主用设备上的链路打开或关闭事件而同步。如果备用设备上的链路打开或关闭,从主用设备发出的动态路由可能会丢失。这是预期的正常行为。


  • DHCP 服务器 - 不会复制 DHCP 地址租用。但是,在接口上配置的 DHCP 服务器将发送 ping 命令,以确保在向 DHCP 客户端授予地址前不使用地址,使得服务不会受到影响。对于 DHCP 中继代理或 DDNS,状态信息不相关。

  • 思科 IP SoftPhone 会话 - 如果在活动思科 IP SoftPhone 会话期间发生故障转移,呼叫将保持活动,因为呼叫会话状态信息已复制到备用设备。呼叫被终止时,IP SoftPhone 客户端将丢失与思科 Call Manager 的连接。发生此连接丢失是因为,没有备用设备上的 CTIQBE 挂机消息的会话信息。如果 IP SoftPhone 客户端在特定时间内未从 Call Manager 收到响应,则会认为 Call Manager 不可访问,并会取消注册自身。

  • RA VPN - 故障转移后,远程访问 VPN 终端用户不必对 VPN 会话重新进行身份验证,也不必重新连接。但是,在 VPN 连接上运行的应用,在故障转移过程中可能会丢失数据包,并且无法从数据包丢失中恢复。

  • 在所有连接中,只有已建立的连接会复制到备用 ASA 上。

不支持的功能

对于状态故障转移,以下状态信息不会传送至备用 ASA

  • 用户身份验证 (uauth) 表

  • TCP 状态绕行连接

  • 组播路由。

  • 选定的无客户端 SSL VPN 功能:

    • 智能隧道

    • 端口转发

    • 插件

    • Java 小程序

    • IPv6 无客户端或 Secure Client 会话

    • Citrix 身份验证(Citrix 用户在故障转移后必须重新进行身份验证)

故障转移的网桥组要求

使用网桥组时,故障转移存在特殊的注意事项。

设备、ASAv 的网桥组要求

当主用设备故障转移到备用设备时,所连接的运行生成树协议 (STP) 的交换机端口在感知到拓扑变化时,会进入阻塞状态 30 秒至 50 秒。当端口处于阻塞状态时,为避免流量丢失,您可以根据交换机端口模式,配置以下任一变通方案:

  • 访问模式 - 启用交换机上的 STP PortFast 功能:

    
    interface interface_id
      spanning-tree portfast
    
    

    链路打开时,PortFast 功能会立即使端口转换到 STP 转发模式。该端口仍会参与 STP。因此,如果端口是环路的一部分,则端口最终会转换为 STP 阻塞模式。

  • Trunk 模式 - 使用 EtherType 访问规则阻止桥接组成员接口上 ASA 上的 BPDU。

    
    access-list id ethertype deny bpdu
    access-group id in interface name1
    access-group id in interface name2
    
    

    阻止 BPDU 会在交换机上禁用 STP。在您的网络布局中,确保没有任何环路涉及 ASA。

如果以上选项均不可行,则您可以使用以下任一不太理想的变通方案,这些方案可能会影响故障转移功能或 STP 稳定性。

  • 禁用接口监控。

  • 将接口保持时间增大到一个高值,这将允许 STP 在 ASA 进行故障转移之前收敛。

  • 降低 STP 计时器的值,以 STP 在接口保持时间之内融合。

故障转移运行状态监控

ASA会监控每台设备的整体运行状态和接口运行状态。此部分包括有关 ASA如何执行测试以确定每台设备状态的信息。

设备运行状况监控

ASA 会通过 Hello 消息监控故障转移链路,进而确定其他设备的运行状况。当设备在故障转移链路上没有收到三条连续的 Hello 消息时,设备将在每个数据接口(包括故障转移链路)上发送接口 LANTEST 消息,来验证对等体是否响应。 对于 Firepower 9300 和 4100系列,您可以启用双向转发检测 (BFD) 监控,这比 Hello 消息更可靠。ASA 采取的操作取决于来自其他设备的响应。请参阅以下可以执行的操作:

  • 如果 ASA 在故障转移链路上收到响应,则不会进行故障转移。

  • 如果 ASA 在故障转移链路上未收到响应,但在数据接口上收到响应,则设备不会进行故障转移。故障转移链路会标记为发生故障。您应尽快恢复故障转移链路,因为当故障转移切换发生故障时,设备无法故障转移到备用设备。

  • 如果 ASA 未在任何接口上收到响应,则备用设备会切换至主用模式,并会将另一台设备分类为故障设备。

心跳模块冗余

每个高可用性单位通过集群控制链路定期发送广播保持连接心跳数据包。如果控制平面忙于处理流量,有时心跳数据包无法到达对等体,或者对等体由于 CPU 过载而无法处理心跳数据包。当对等体无法在可配置的超时期限内传达保持连接状态时,会发生错误的故障转移或裂脑场景。

数据平面中的心跳模块有助于避免由于控制平面中的流量拥塞而发生错误的故障转移或裂脑。

  • 附加心跳模块的工作原理与控制平面模块类似,但使用数据平面传输基础设施发送和接收心跳消息。

  • 当对等体在数据平面中收到心跳数据包时,计数器会递增。

  • 如果控制平面中的心跳传输失败,则节点会检查数据平面中的心跳计数器。如果计数器递增,则表示对等体处于活动状态,并且集群在这种情况下不会执行故障转移。



  • 每当启用 HA 时,都会默认启用额外的心跳模块。您不必为数据平面中的其他心跳模块设置轮询间隔。此模块使用您为控制平面设置的相同心跳间隔。

  • 此功能在版本 7.3 中不可用。


接口监控

您最多可以监控 1025 个接口(在多情景模式下,会在所有情景之间进行分配)。您应监控重要的接口。例如,在多情景模式下,您可以配置一个用于监控共享接口的情景:因为接口是共享的,所有情景都可以从监控中受益。

当设备在 15 个秒 (默认值),未在受监控的接口上收到 hello 消息时,将运行接口测试。(要更改时间段,请参阅配置 > 设备管理 > 高可用性和可扩展性 > 故障转移 > 条件 > 故障转移轮询次数如果对于某个接口,其中一个接口测试失败,但在另一设备上的此接口继续成功传送流量,则此接口会被视为发生故障,ASA 停止运行测试。

如果满足为故障接口数量定义的阈值(请参阅命令,或者对于主用/主用故障转移,请使用命令)(请参阅配置设备管理高可用性和可扩展性故障转移标准接口策略)(请参阅设备设备管理高可用性故障转移)触发条件(Trigger Criteria)),并且主用设备的故障接口比备用设备多,则发生故障转移。 > > > > > 如果某个接口在两个单元上都失败,则这两个接口会进入“Unknown”状态,并且不会计入由故障转移接口政策制定的故障转移限制。

如果接口收到任何流量,则该接口会再次变为正常工作状态。如果不再满足接口故障阈值,发生故障的 ASA 会回到备用模式。

如果接口上配置了 IPv4 和 IPv6 地址,ASA 会使用 IPv4 地址执行运行状况监控。如果接口上仅配置了 IPv6 地址,则 ASA 会使用 IPv6 邻居发现,而不是 ARP 来执行运行状况监控测试。对于广播 Ping 测试,ASA 会使用所有的 IPv6 节点地址 (FE02::1)。



如果故障设备未恢复,并且您认为其应未发生故障,则可通过输入 failover reset 命令重置状态。但是,如果故障转移条件仍然存在,设备将再次失败。


接口测试

ASA使用以下接口测试。默认情况下,每个测试的持续时间约为1.5秒 ,或故障转移接口保持时间的1/16(请参阅配置 > 设备管理 > 高可用性和可扩展性 > 故障转移 > 标准 > 故障转移轮询时间

  1. 链路打开/关闭测试 - 一种接口状态测试。如果链路打开/关闭测试指示接口关闭,则 ASA视为测试失败,然后测试停止。如果状态为打开,则 ASA执行 Network Activity 测试。

  2. 网络活动测试 - 接收的网络活动测试。测试开始时,每台设备会清除其接口收到的数据包计数。在测试期间,一旦设备收到符合条件的数据包,则接口会被视为正常运行。如果两台设备都收到流量,则测试会停止。如果一台设备收到测试流量,另一设备未收到,则未收到流量的设备会被视为已发生故障。如果两台设备均收到了流量,则 ASA开始进行 ARP 测试。

  3. ARP 测试 - 用于测试成功的 ARP 回复。每台设备都向其 ARP 表中最新条目中的 IP 地址发送一个 ARP 请求。如果设备在测试期间收到 ARP 回复或其他网络流量,则认为该接口运行正常。如果设备未收到 ARP 回复,则 ASA会向 ARP 表中的下一个条目中的 IP 地址发送一次 ARP 请求。如果设备在测试期间收到 ARP 回复或其他网络流量,则认为该接口运行正常。如果两台设备都收到流量,则测试会停止。如果一台设备收到测试流量,另一设备未收到,则未收到流量的设备会被视为已发生故障。如果两台设备均收到了流量,则 ASA开始进行广播 Ping 测试。

  4. 广播 Ping 测试 - 测试成功的 Ping 回复。每台设备发送一个广播 Ping,然后对收到的所有数据包进行计数。在测试期间,当设备收到任何数据包,则接口会被视为正常运行。如果两台设备都收到流量,则测试会停止。如果一台设备收到测试流量,另一设备未收到,则未收到流量的设备会被视为已发生故障。如果未收到任何流量,则测试将通过 ARP 测试再次开始。如果两台设备继续没有收到来自 ARP 和广播 Ping 测试的流量,则测试将会一直运行下去。

接口状态

受监控接口可以具有以下状态:

  • Unknown - 初始状态。此状态也可能意味着状态无法确定。

  • Normal - 接口正在接收流量。

  • Testing - 接口上有 5 个轮询时间未收听到 Hello 消息。

  • Link Down - 接口或 VLAN 通过管理方式关闭。

  • No Link - 接口的物理链路关闭。

  • Failed - 在接口上没有收到流量,但在对等体接口上收听到流量。

故障转移时间

以下事件会在 Firepower 高可用性对中触发故障转移:

  • 主用设备上超过 50% 的 Snort 实例已关闭。

  • 主用设备上使用的磁盘空间已超过 90%。

  • 主用设备上运行的是 no failover active 命令,而备用设备上运行的是 failover active 命令。

  • 主用设备的故障接口比备用设备更多。

  • 主用设备上的接口故障超过配置的阈值。

    默认情况下,单个接口发生故障会导致故障转换。您可以通过配置接口数量的阈值或为发生故障转移而必须发生故障的受监控接口的百分比来更改默认值。如果在主用设备上达到阈值,则会发生故障转移。如果备用设备上的阈值超出阈值,则设备将进入“故障”状态。

    要更改默认故障转移条件,在全局配置模式下输入以下命令:

    表 1.

    命令

    目的

    failover interface-policy num [%]

    hostname (config)# failover interface-policy 20%

    更改默认故障转移条件。

    指定特定接口数时,num 参数可以介于 1 和 250 之间。

    指定接口百分比时,num 参数可以介于 1 和 100 之间。



如果使用 CLI 或 ASDM 手动进行故障转移,或者重新加载 ASA,则故障转移会立即开始,不受如下所列计时器的约束。


表 2. ASA

故障转移条件

最小

默认

最大

主用设备断电,硬件关闭或软件重新加载或崩溃。当出现这些情况时,受监控接口或故障转移链路不会收到任何 Hello 消息。

800 毫秒

15 秒

45 秒

主用设备主板接口链路发生故障。

500 毫秒

5 秒

15 秒

主用设备 4GE 模块接口链路发生故障。

2 秒

5 秒

15 秒

主用设备接口正常运行,但是连接问题导致接口测试。

5 秒

25 秒

75 秒

配置同步

故障转移包含各种类型的配置同步。

运行配置复制

当故障转移对中的任意一台或两台设备启动时,系统会执行运行配置复制。

在主用/备用故障转移中,配置始终会从主用设备同步到备用设备。

在主用/主用故障转移中,第二个启动的任何设备都会从第一个启动的设备获取正在运行的配置,无论指定的主或从属启动设备如何都是如此。在两个设备正常运行后,在系统执行空间中输入的命令会从其上的故障转移组 1 处于主用状态的设备复制。

备用/第二个设备完成其初始启动后,会清除其运行配置(需要与主用设备通信的failover 命令除外),而主用设备则会向备用设备发送其完整配置。复制开始时,主用设备上的 ASA 控制台会显示消息“Beginning configuration replication: Sending to mate”;完成时,ASA 显示消息“End Configuration Replication to mate”。根据配置的大小,复制可能需要几秒到几分钟。

在接收配置的设备上,配置仅存在于运行内存中。您应该将配置保存到闪存。例如,在主用/主用故障转移中,请在故障转移组 1 处于主用状态的设备的系统执行空间中输入 write memory all 命令。该命令会复制到对等设备,该对等设备将继续将其配置写入到闪存。



在复制时,在发送配置的设备上输入的命令可能无法正确地复制到对等设备,并且在接收配置的设备上输入的命令可能已被接受的配置覆盖。在配置复制过程中,应避免在故障转移对中的任一设备上输入命令。


文件复制

配置同步不复制以下文件和配置组件,因此您必须手动复制这些文件,以便它们匹配:

  • Secure Client 映像

  • CSD 映像

  • Secure Client 配置文件

    ASA 使用存储在 cache:/stc/profiles 中的 Secure Client 配置文件的缓存文件,而不是存储在闪存文件系统中的文件。要将 Secure Client 配置文件复制到备用设备,请执行以下其中一项操作:

    • 在主用设备上输入 write standby 命令。

    • 在主用设备上重新应用配置文件。

    • 重新加载备用设备。

  • 本地证书颁发机构 (CA)

  • ASA 映像

  • ASDM 映像

命令复制

启动后,您在主用设备上输入的命令会被立即复制到备用设备。不必将主用配置保存到闪存才能复制命令。

在主用/主用故障转移中,在系统执行空间中输入的更改复制自其上的故障转移组 1 处于主用状态的设备。

未在要进行命令复制的相应设备上输入更改会导致配置不同步。在进行下一次初始配置同步时,这些更改可能会丢失。

以下命令会复制到备用 ASA:

  • modefirewall failover lan unit 之外的所有配置命令

  • copy running-config startup-config

  • delete

  • mkdir

  • rename

  • rmdir

  • write memory

以下命令会复制到备用 ASA:

  • copy 命令外的所有形式的 copy running-config startup-config 命令

  • write 命令外的所有形式的 write memory 命令

  • debug

  • failover lan unit

  • firewall

  • show

  • terminal pagerpager

config-sync 优化

在挂起或恢复故障转移后发生节点重启或节点重新加入时,加入设备会清除其运行配置。主用设备将其整个配置发送到加入设备,以进行完整的配置同步。如果主用设备的配置较大,则加入设备需要几分钟才能同步配置。

配置同步优化功能通过交换配置散列值来比较加入设备和主用设备的配置。如果在主用设备和加入设备上计算的散列值匹配,则加入设备将跳过完全配置同步并重新加入 HA。此功能可实现更快的 HA 对等,并缩短维护窗口和升级时间。

配置同步优化的准则和限制
  • ASA 9.18.1 及更高版本上默认启用配置同步优化功能。

  • ASA 多情景模式通过在完全配置同步期间共享情景顺序来支持配置同步优化功能,从而允许在后续节点重新加入期间比较情景顺序。

  • 如果配置密码和故障转移 IPsec 密钥,则配置同步优化无效,因为主用设备和备用设备中计算的散列值不同。

  • 如果使用动态 ACL 或 SNMPv3 配置设备,则配置同步优化功能无效。

  • 主用设备将 LAN 链路摆动的完整配置作为默认行为进行同步。在主用设备和备用设备之间的故障转移摆动期间,不会触发配置同步优化功能,而是执行完整的配置同步。

监控配置同步优化

启用配置同步优化功能后,系统会生成系统日志消息,显示在主用设备和加入设备上计算的散列值是否匹配,或者操作超时是否已到期。系统日志消息还会显示从发送散列请求到获取并比较散列响应所经过的时间。

使用以下命令监控配置同步优化。您可以使用 工具 > 命令行界面 执行这些命令。

  • show failover config-sync checksum

    显示有关设备状态和校验和的信息。

  • show failover config-sync configuration

    显示有关设备配置和校验和的信息。

  • show failover config-sync status

    显示配置同步优化功能的状态。

关于主用/备用故障转移

主用/备用故障转移允许您使用备用 ASA来接管故障设备的功能。当主用设备发生故障时,备用设备将变为主用设备。但在更换故障设备之前,必须将备用设备设置为主设备,以便保留辅助设备的配置。



对于多情景模式,ASA 可以在整个设备(包括所有情景)上进行故障转移,但不能在单个情景上单独进行故障转移。


主/辅助角色和主用/备用状态

在故障转移对中这两台设备之间的主要区别是哪台是主用设备,哪台是备用设备,即要使用哪些 IP 地址以及哪台设备积极传递流量。

但是,设备之间还存在一些取决于哪一设备为主设备(在配置中指定),哪一设备为辅助设备的差别:

  • 如果两台设备同一时间启动(并且运行状况相同),则主设备总是会成为主用设备。

  • 主设备 MAC 地址始终与主用 IP 地址相匹配。此规则的例外是,当辅助设备成为主用设备并且无法通过故障转移链路获取主设备 MAC 时。在这种情况下,会使用辅助设备的 MAC 地址。

启动时的主用设备确定

主用设备按以下方式确定:

  • 如果某台设备启动,并检测到对等体已作为主用设备运行,则该设备会成为备用设备。

  • 如果某台设备启动,并且未检测到对等体,则该设备会成为主用设备。

  • 如果两台设备同时启动,则主设备成为主用设备,辅助设备成为备用设备。

故障转移事件

在主用/备用故障转移中,故障转移会在设备级别进行。 即使在多情景模式下运行的系统上,您也无法对个别情景或一组情景进行故障转移。

下表显示了每个故障事件的故障转移操作。对于每种故障事件,该表显示了故障转移策略(故障转移或禁用故障转移)、主用设备执行的操作、备用设备执行的操作,以及有关故障转移条件和操作的所有特别说明。

表 3. 故障转移事件

故障事件

策略

主用设备操作

备用设备操作

说明

主用设备发生故障(电源或硬件)

故障转移

不适用

成为主用设备

将主用设备标记为发生故障

在任何受监控接口或故障转移链路上,均未收到 Hello 消息。

以前的主用设备恢复

禁用故障转移

成为备用设备

无需操作

无。

备用设备发生故障(电源或硬件)

禁用故障转移

将备用设备标记为发生故障

不适用

备用设备被标记为发生故障后,主用设备不会尝试进行故障转移,即使超过接口故障阈值也是如此。

故障转移链路在运行过程中发生故障

禁用故障转移

将故障转移链路标记为发生故障

将故障转移链路标记为发生故障

您应尽快恢复故障转移链路,因为当故障转移链路发生故障时,设备无法故障转移到备用设备。

故障转移链路在启动时发生故障

禁用故障转移

成为主用设备

将故障转移链路标记为发生故障

成为主用设备

将故障转移链路标记为发生故障

如果故障转移链路在启动时发生故障,则两台设备都会成为主用设备。

状态链路发生故障

禁用故障转移

无需操作

无需操作

如果发生故障转移,状态信息会过时,而且会话会被终止。

主用设备上的接口故障超过阈值

故障转移

将主用设备标记为发生故障

成为主用设备

无。

备用设备上的接口故障超过阈值

禁用故障转移

无需操作

将备用设备标记为发生故障

备用设备被标记为发生故障后,主用设备不会尝试进行故障转移,即使超过接口故障阈值也是如此。

关于主用/主用故障转移

本部分介绍主用/主用故障转移。

主用/主用故障转移概述

在主用/主用故障转移配置中,两台 ASA 均可传递网络流量。主用/主用故障转移仅在多情景模式下适用于 ASA。在主用/主用故障转移中,您可将 ASA 上的安全情景最多划分为 2 个故障转移组。

故障转移组就是一个或多个安全情景的逻辑组。您可以将故障转移组指定为在主 ASA 上处于主用状态,并将故障转移组 2 指定为在辅助 ASA 上处于主用状态。发生故障转移时,会在故障转移组级别进行。例如,根据接口故障模式,故障转移组 1 可能会故障转移到辅助 ASA,相应地,故障转移组 2 可能故障转移到主 ASA。在以下情况下可能发生此事件:故障转移组 1 中的接口在主 ASA 上发生故障,但在辅助 ASA 上正常工作,而故障转移组 2 中的接口在辅助 ASA 上发生故障,但在主 ASA 上正常工作。

管理情景始终是故障转移组 1 的成员。默认情况下,所有未分配的安全情景也是故障转移组 1 的成员。如果希望使用主用/主用故障转移,但对多情景不感兴趣,最简单的配置是添加一个额外的情景并将其分配给故障转移组 2。



配置主用/主用故障转移时,请确保两台设备的整合流量在每台设备的处理能力之内。




需要时,可将两个故障转移组分配到一台 ASA,但您将无法利用具有两台主用 ASA 的优势。


故障转移组的主/辅助角色和主用/备用状态

与在主用/备用故障转移中一样,主用/主用故障转移对中的一台设备被指定为主设备,另一台指定为辅助设备。不同于主用/备用故障转移的是,当两台设备同时启动时,此指定不指示哪一台设备会成为主用设备。相反地,主设备/辅助设备指定会进行两个操作:

  • 两台设备同时启动时,主设备会提供运行配置。

  • 配置中的每个故障转移组都配置了主设备或辅助设备首选项。与抢占一起使用时,此首选项可确保故障转移组启动后在正确的设备上运行。如果不使用抢占,则两个组均在第一台要启动的设备上运行。

启动时的故障转移组主用设备确定

故障转移组在其上变为主用状态的的设备按以下方式确定:

  • 一台设备启动时,如果对等设备不可用,则两个故障转移组都会在该设备上变为主用状态。

  • 一台设备启动时,如果对等设备处于主用状态(而且两个故障转移组都处于主用状态),则故障转移组将在主用设备上保持主用状态,而无论故障转移组的主设备或辅助设备首选项如何,直到出现以下情形之一:

    • 发生故障转移。

    • 手动强制执行故障转移。

    • 为故障转移组配置了抢占,这导致故障转移组在设备变得可用时,自动在首选设备上变为主用状态。

故障转移事件

在主用/主用故障转移配置中,故障转移会在故障转移组级别,而不是系统级别进行。例如,如果您将两个故障转移组指定为主设备上的主用故障转移组,并且故障转移组 1 发生故障,则故障转移组 2 会在主设备上保持主用,而故障转移组 1 则会在辅助设备上变为主用状态。

由于故障转移组可以包含多个情景,并且每个情景可以包含多个接口,因此有可能单个情景中的所有接口都发生故障而不导致相关故障转移组发生故障。

下表显示了每个故障事件的故障转移操作。对于每种故障事件,给出了策略(是否发生故障转移)、主用故障转移组的操作和备用故障转移组的操作。

表 4. 故障转移事件

故障事件

策略

主用组操作

备用组操作

备注

设备发生电源或软件故障

故障转移

成为备用设备

标记为发生故障

成为主用设备

将主用设备标记为发生故障

故障转移对中的一台设备发生故障时,该设备上的所有主用故障转移组都会被标记为发生故障,并在对等设备上变为主用状态。

主用故障转移组上的接口故障超过阈值

故障转移

将主用组标记为发生故障

成为主用设备

无。

备用故障转移组上的接口故障超过阈值

禁用故障转移

无需操作

将备用组标记为发生故障

备用故障转移组标记为发生故障后,主用故障转移组不会尝试进行故障转移,即使超过接口故障阈值也是如此。

以前的主用故障转移组恢复

禁用故障转移

无需操作

无需操作

除非配置了故障转移组抢占,否则故障转移组会在其当前设备上保持主用状态。

故障转移链路在启动时发生故障

禁用故障转移

成为主用设备

成为主用设备

如果故障转移链路在启动时发生故障,则两台设备上的故障转移组都会变为主用状态。

状态链路发生故障

禁用故障转移

无需操作

无需操作

如果发生故障转移,状态信息会过时,而且会话会被终止。

故障转移链路在运行过程中发生故障

禁用故障转移

n/a

n/a

每台设备都会将故障转移链路标记为发生故障。您应尽快恢复故障转移链路,因为当故障转移链路发生故障时,设备无法故障转移到备用设备。

故障转移许可

对于绝大多数型号,故障转移设备不要求每个设备上具有同一许可证。如果您在两台设备上都有许可证,则这两个许可证会合并为一个运行故障转移集群许可证。此规则存在一些例外情况。有关故障转移的具体许可要求,请参阅下表。

型号

许可证要求

ASA Virtual

请参阅 ASAv 的故障转移许可证

Firepower 1010

两个设备上都有增强型安全许可证。请参阅Firepower 1010 的故障转移许可证

Firepower 1100

请参阅Firepower 1100 的故障转移许可证

Cisco Secure Firewall 3100/4200

请参阅Secure Firewall 3100 的故障转移许可证

Firepower 4100/9300

请参阅适用于 Firepower 4100/9300 的故障转移许可证

ISA 3000

两个设备上都有增强型安全许可证。

 

每台设备必须拥有相同的加密许可证。



需要有效的永久密钥;在极少数情况下,在 ISA 3000 可以删除您的 PAK 身份验证密钥。如果密钥全部由 0 组成,则需要重新安装有效的身份验证密钥,然后才能启用故障转移。


故障转移准则

情景模式

  • 仅多情景模式支持主用/主用模式。

  • 对于多情景模式,请在系统执行空间中执行所有步骤,除非另外说明。

型号支持

  • Firepower 1010:

    • 使用故障转移时,不应使用交换机端口功能。由于交换机端口在硬件中运行,因此会继续在主用设备 备用设备上传输流量。故障转移旨在防止流量通过备用设备,但此功能不会扩展至交换机端口。在正常 故障转移网络设置中,两台设备上的活动交换机端口将导致网络环路。建议将外部交换机用于任何交换功能。请注意,VLAN 接口可通过故障转移监控,而交换机端口无法通过故障转移监控。理论上,您可以将单个交换机端口置于 VLAN 上并成功使用 故障转移,但更简单的设置是改用物理防火墙接口。

    • 仅可使用防火墙接口作为故障转移链路。

  • Firepower 9300 - 我们建议您使用机箱间故障转移以实现最佳冗余。

  • 由于需要第 2 层的连接,因此不支持照常故障转移在公共云网络(如 Microsoft Azure 和 Amazon Web 服务)上使用 ASA virtual另请参阅 公共云中的高可用性故障转移

通过 ASA Virtual 故障转移实现高可用性

使用 ASA virtual 创建故障转移对时,需要按相同顺序将数据接口添加到每个 ASA virtual。如果完全相同的接口添加到每个 ASA virtual,但采用不同的顺序,在 ASA virtual控制台上会显示错误。故障转移功能可能也会受到影响

其他准则

  • 当主用设备故障转移到备用设备时,所连接的运行生成树协议 (STP) 的交换机端口在感知到拓扑变化时,会进入阻塞状态 30 秒至 50 秒。当端口处于阻塞状态时,为避免流量丢失,您可以根据交换机启用 STP PortFast 功能:

    interface interface_id spanning-tree portfast

    此解决方法适用于连接到路由模式和桥接组接口的交换机。链路打开时,PortFast 功能会立即使端口转换到 STP 转发模式。该端口仍会参与 STP。因此,如果端口是环路的一部分,则端口最终会转换为 STP 阻塞模式。

  • 发生故障转移事件时,在连接到 ASA故障转移对的交换机上配置端口安全性,可能会导致通信问题。一个安全端口上配置或获悉的安全 MAC 地址移至另一安全端口,交换机端口安全功能标记违例时,会发生此问题。

  • 您最多可以在一台设备上监控跨所有情景的 1025 个接口。

  • 对于主用/备用 故障转移和 VPN IPSec 隧道,无法使用 SNMP 通过 VPN 隧道监控主用设备和备用设备。备用设备没有有效的 VPN 隧道,将丢弃发往 NMS 的流量。您可以改为使用具有加密功能的 SNMPv3,因此不需要 IPsec 隧道。

  • 对于主用/主用故障转移,不应在相同 ASR 组中配置相同情景中的两个接口。

  • 对于主用/主用故障转移,最多可以定义两个故障转移组。

  • 对于主用/主用故障转移,删除故障转移组时,必须最后删除故障转移组 1。故障转移组 1 始终包含管理情景。未分配到故障转移组的所有情景将默认分配到故障转移组 1。不能删除已显式分配了情景的故障转移组。

  • 故障转移后,系统日志消息的源地址将立即成为故障转移接口地址几秒钟。

  • 为了更好地融合(在故障转移期间),您必须关闭 HA 对上未与任何配置或实例关联的接口。

  • 如果您在评估模式下配置故障转移加密,系统将使用 DES 进行加密。如果随后您使用出口合规账户注册设备,则设备将在重新启动后使用 AES。因此,如果系统出于任何原因重新启动,包括安装升级后,对等体将无法通信,两台设备将变为主用设备。建议您在注册设备之前不要配置加密。如果您在评估模式下进行此配置,建议您在注册设备之前删除加密。

  • 当使用具有故障转移功能的 SNMPv3 时,如果更换故障转移设备,则 SNMPv3 用户不会复制到新设备。您必须将 SNMPv3 用户重新添加到主用设备,以强制用户复制到新设备;或者,也可以直接在新设备上添加用户。重新配置每个用户,方法是在控制/主用设备上输入 snmp-server user username group-name v3 命令,或者直接使用未加密形式的 priv-password 选项和 auth-password 选项直接连接到备用设备。

  • 设备不再与其对等体共享 SNMP 客户端引擎数据。

  • 如果您有大量访问控制和 NAT 规则,则配置的大小可能会阻止有效的配置复制,导致备用设备需要过长的时间才能达到备用就绪状态。这也会影响您在通过控制台或 SSH 会话进行复制期间连接到备用设备的能力。要提高配置复制性能,请使用 asp rule-engine transactional-commit access-group asp rule-engine transactional-commit nat 命令为访问规则和 NAT 启用事务提交。

  • 转换为备用角色的 故障转移 对中的设备可将其时钟与主用设备同步。

    示例:

    firepower#show clock
    01:00:52 UTC Mar 1 2022
    
    ...
    01:01:18 UTC Mar 1 2022 <======= Incorrect (previous) clock
    Cold Standby               Sync Config                Detected an Active mate
    
    19:38:21 UTC Apr 9 2022 <======= Updated clock
    Sync Config                Sync File System           Detected an Active mate
    ...
    firepower/sec/stby#show clock
    19:38:40 UTC Apr 9 2022
  • 故障转移 中的设备不会动态同步时钟。以下是进行同步时的一些事件示例:

    • 将创建一个新的 故障转移 对。

    • 故障转移 已中断并已重新创建。

    • 故障转移链路上的通信中断并重新建立。

    • 使用 no failover/failover configure high-availability suspend/resume 威胁防御)命令来在 CLI 。

  • 启用 故障转移 会强制删除所有路由,并会在 故障转移 进程变为“活动”状态后重新添加这些路由。在此阶段,您可能会遇到连接丢失的情况。

  • 如果在独立设备上启用故障转移,数据接口将在故障转移协商状态下关闭,从而中断流量。

  • 故障转移 配置中,短期连接(通常使用端口 53)会快速关闭,并且永远不会从主用设备传输或同步到备用设备,因此两个 故障转移 设备上的连接数量可能存在差异。这是短期连接的预期行为。您可以尝试比较长期(例如,超过 30-60 秒)的连接。

故障转移的默认设置

默认情况下,故障转移策略包含以下内容:

  • 在状态故障转移中不进行 HTTP 复制。

  • 单个接口故障导致故障转移。

  • 接口轮询时间为 5 秒。

  • 接口保持时间为 25 秒。

  • 设备轮询时间为 1 秒。

  • 设备保持时间为 15 秒。

  • 在组播情景模式下。

  • 监控所有物理接口。

配置主用/备用故障转移

要配置主用/备用故障转移,请在主设备和辅助设备上配置基本故障转移设置。其他所有配置仅在主设备上进行,然后这些设置会同步到辅助设备。

High Availability and Scalability Wizard 可以分步骤指导您创建主用/备用故障转移配置。

过程


步骤 1

依次选择向导 > 高可用性和可扩展性。请参阅以下步骤中有关选择向导的准则。

步骤 2

Failover Peer Connectivity and Compatibility 屏幕上,输入对等设备的 IP 地址。此地址必须是已启用 ASDM 访问的接口。

默认情况下,对等体地址会被指定为 ASDM 管理接口的备用地址。

步骤 3

LAN Link Configuration 屏幕上:

  • Interface - 接口可以是数据物理接口、子接口、或 EtherChannel 接口 ID。在 Firepower 1010 上,该接口是防火墙接口 ID;不能指定交换机端口 ID 或 VLAN ID。Firepower 4100/9300 可以使用任何数据类型接口。

  • Active IP Address - 此 IP 地址应处于未使用的子网上。 此子网可以是 31 位 (255.255.255.254),仅包含两个 IP 地址。169.254.0.0/16 和 fd00:0:0:*::/64 是内部使用的子网,不能用于故障转移或状态链路。

  • Standby IP Address - 此 IP 地址必须与主用 IP 地址处于相同网络。

  • (可选)Communications Encryption - 加密故障转移链路上的通信。注意:我们建议使用 IPsec 预共享密钥而不是密钥,您可以在退出向导后配置该预共享密钥(请参阅修改故障转移设置)。

步骤 4

State Link Configuration 屏幕上,如果您选择将另一个接口用于状态故障转移:

  • Active IP Address - 此 IP 地址应处于不同于故障转移链路的未使用的子网上。 此子网可以是 31 位 (255.255.255.254),仅包含两个 IP 地址。169.254.0.0/16 和 fd00:0:0:*::/64 是内部使用的子网,不能用于故障转移或状态链路。

  • Standby IP Address - 此 IP 地址必须与主用 IP 地址处于相同网络。

步骤 5

在点击 Finish后,向导会显示 Waiting for Config Sync 屏幕。

指定时段过后,向导将故障转移配置发送到辅助设备,您将看到信息屏幕,该屏幕显示故障转移配置完成。

  • 如果您不知道在辅助设备是否已启用故障转移,请在指定时段内进行等待。

  • 如果知道故障转移已启用,请点击 Skip configuring peer

  • 如果知道辅助设备尚未启用故障转移,请点击 Stop waiting xx more seconds,故障转移启动配置将立即发送到备用设备。


配置主用/主用故障转移

本节介绍如何配置主用/主用故障转移。

High Availability and Scalability Wizard 可以分步骤指导您创建主用/主用故障转移配置。

过程


步骤 1

依次选择向导 > 高可用性和可扩展性。请参阅以下步骤中有关选择向导的准则。

步骤 2

Failover Peer Connectivity and Compatibility Check 屏幕中,对等体 IP 地址必须为已在其上启用 ASDM 访问的接口。

默认情况下,对等体地址会被指定为 ASDM 连接到的接口的备用地址。

步骤 3

Security Context Configuration 屏幕中,如果您在运行向导的过程中已转换到多情景模式,则仅会看到管理情景。退出向导后,可以添加其他情景。

步骤 4

LAN Link Configuration 屏幕上:

  • Interface - 接口可以是数据物理接口、子接口、冗余接口或 EtherChannel 接口 ID。您只能为 ASA 5506H-X 将管理 1/1 接口指定为故障转移链路。如果您要这样做,必须保存配置,然后重新加载设备。随后您将无法将此接口用于故障转移,也将无法使用 ASA Firepower 模块;该模块需要用于管理的接口,并且您只能将其用于一项功能。Firepower 4100/9300 可以使用任何数据类型接口。

  • Active IP Address - 此 IP 地址应处于未使用的子网上。 此子网可以是 31 位 (255.255.255.254),仅包含两个 IP 地址。169.254.0.0/16 和 fd00:0:0:*::/64 是内部使用的子网,不能用于故障转移或状态链路。

  • Standby IP Address - 此 IP 地址必须与主用 IP 地址处于相同网络。

  • (可选)Communications Encryption - 加密故障转移链路上的通信。注意:我们建议使用 IPsec 预共享密钥而不是密钥,您可以在退出向导后配置该预共享密钥(请参阅修改故障转移设置)。

步骤 5

State Link Configuration 屏幕上,如果您选择将另一个接口用于状态故障转移:

  • Active IP Address - 此 IP 地址应处于不同于故障转移链路的未使用的子网上。 此子网可以是 31 位 (255.255.255.254),仅包含两个 IP 地址。169.254.0.0/16 和 fd00:0:0:*::/64 是内部使用的子网,不能用于故障转移或状态链路。

  • Standby IP Address - 此 IP 地址必须与主用 IP 地址处于相同网络。

步骤 6

在点击 Finish后,向导会显示 Waiting for Config Sync 屏幕。

指定时段过后,向导将故障转移配置发送到辅助设备,您将看到信息屏幕,该屏幕显示故障转移配置完成。

  • 如果您不知道在辅助设备是否已启用故障转移,请在指定时段内进行等待。

  • 如果知道故障转移已启用,请点击 Skip configuring peer

  • 如果知道辅助设备尚未启用故障转移,请点击 Stop waiting xx more seconds,故障转移启动配置将立即发送到备用设备。


配置可选故障转移参数

您可以视需要自定义故障转移设置。

配置故障转移条件和其他设置

有关您可在本节中更改的许多参数的默认设置,请参阅故障转移的默认设置。对于主用/主用模式,您可以设置每个故障转移组的大多数条件。本节包括为主用/主用模式下的每个故障转移组启用 HTTP 复制;要为主用/备用模式配置 HTTP  复制,请参阅修改故障转移设置

开始之前

  • 在多情景模式下,可在系统执行空间中配置这些设置。

  • 如需为设备运行状况监控配置双向转发检测 (BFD),请参阅以下限制:

    • 仅限 Firepower 9300 和 4100。

    • 仅限主用/备用。

    • 仅限路由模式

过程


步骤 1

依次选择配置 > 设备管理 > 高可用性和可扩展性 > 故障转移

步骤 2

禁用在备用设备或情景中直接进行任何配置更改的功能:在 Setup 选项卡上,选中 Disable configuration changes on the standby unit 复选框。

默认情况下,允许备用设备/情景上进行配置,但系统会显示一条警告消息。

步骤 3

BFD Health Check 下,点击 Manage 可定义要用于故障转移运行状况检测的 BFD 模板。定期监控设备可能会在 CPU 使用率高时导致错误报警。BFD 方法是分布式的,所以高 CPU 不会影响其运行。

Configuration > Device Setup > Routing > BFD > Template 页面将打开。点击 Add 以创建单跃点模板;不支持多跃点。对于间隔设置,可以指定毫秒;不支持微秒。有关模板详细信息,请参阅创建 BFD 模板

步骤 4

点击 Criteria 选项卡。

步骤 5

配置设备轮询时间:

Failover Poll Times 区域:

  • Unit Failover - 设备之间的 Hello 消息所间隔的时长。取值范围介于 1 和 15 秒之间,或者 200 和 999 毫秒之间。

  • Unit Hold Time - 设置设备在此期间,必须在故障转移链路上收到 Hello 消息,否则设备会开始对等体故障测试过程的时长。取值范围介于 1 和 45 秒之间,或者 800 和 999 毫秒之间。输入的值不得短于轮询时间的 3 倍。

 

此窗格中的其他设置仅适用于主用/备用模式。在主用/主用模式下,您必须为每个故障转移组配置其余参数。

步骤 6

(仅主用/主用模式)点击 Active/Active 选项卡,然后选择故障转移组,并点击 Edit

步骤 7

(仅限主用/主用模式)更改结合抢占使用时的故障转移组首选角色:点击 PrimarySecondary

如果使用了向导,则故障转移组 1 会分配到主设备,故障转移组 2 会分配到辅助设备。如果要使用非标准配置,可根据需要指定不同的设备首选项。这些设置只能结合抢占设置一起使用。两个故障转移组在首次启动的设备上都会变成主用状态(即使它们看似同时启动,但一台设备会首先变成主用状态),不考虑该组的主要或辅助设置。

步骤 8

(仅限主用/主用模式)配置故障转移组抢占:选中 Preempt after booting with optional delay of 复选框。

两个故障转移组在首次启动的设备上都会变成主用状态(即使它们看似同时启动,但一台设备会首先变成主用状态),不考虑该组的主要或辅助设置。

您可以输入可选的 delay 值,该值指定故障转移组在指定设备上自动变为主用状态之前,在当前设备上保持主用状态的秒数。有效值范围为 1 至 1200。

如果手动执行故障转移,则会忽略 Peempt 选项。

 

如果启用状态故障转移,则抢占会延迟,直到连接从当前处于主用状态的故障转移组所在的设备中复制为止。

步骤 9

配置 Interface Policy

  • Number of failed interfaces that triggers failover - 定义要触发故障转移,必须达到的特定故障接口数,范围介于 1 到 250 之间。当监控的故障接口数超过指定的值时,ASA 将执行故障转移。

  • Percentage of failed interfaces that triggers failover - 定义要触发故障转移,必须达到的发生故障的已配置接口的百分比。当监控的故障接口数超过设置的百分比时,ASA 将执行故障转移。

 

请勿使用 Use system failover interface policy 选项。此时您仅可以设置每个组的策略。

步骤 10

(主用/备用模式)配置接口轮询时间:

Failover Poll Time 区域:

  • 监控接口-指定接口轮询时间:向对等体发送呼叫数据包之间等待的时间。取值范围介于 1 和 15 秒之间,或者 500 和 999 毫秒之间。默认值为 5 秒。

  • Link State - 默认情况下,故障转移对中的每个 ASA 每隔 500 毫秒检查一次其接口的链路状态。您可以自定义轮询时间;例如,如果将轮询时间设置为 300 毫秒,则 ASA 可以更快地检测接口故障并触发故障转移。范围为 300 至 799 毫秒。

  • Interface Hold Time - 设置从对等体设备最后收到的 Hello 消息与开始接口测试以确定接口运行状况之间的时间(作为计算)。它还将每个接口测试的持续时间设置为holdtime / 16。有效值范围为 5 至 75 秒。默认值为轮询时间的5倍。输入的保持时间值不得短于设备轮询时间的 5 倍。

    要计算开始接口测试之前的时间(y),请执行以下操作:

    1. x =(holdtime/polltime)/ 2,四舍五入为最接近的整数。(.4 和向下四舍五入; 0.5 和向上四舍五入。)

    2. y = x*polltime

    例如,如果使用默认保持时间25和轮询时间5,则y = 15秒。

对于主用/主用模式,请在 Add/Edit Failover Group 对话框中配置接口轮询时间。

步骤 11

(仅主用/主用模式)启用 HTTP 复制:选中 Enable HTTP replication 复选框。

有关会话复制速率,请参阅修改故障转移设置部分。

 

由于使用故障转移时从备用设备中删除 HTTP 数据流会产生延迟,所以 show conn count 输出在主用设备与备用设备上可能显示不同的数量;如果等待几秒钟再重新发出该命令,则会在两台设备上看到相同的数量。

步骤 12

配置虚拟 MAC 地址:

  • 主用/备用模式 - 点击 MAC Addresses 选项卡,然后点击 Add

    系统将显示 Add/Edit Interface MAC Address 对话框。

  • 主用/主用模式 - 转至 Active/Active 选项卡底部。

您也可以使用其他方法设置 MAC 地址,但是我们建议只使用一种方法。如果使用多种方法设置 MAC 地址,所使用的 MAC 地址会取决于许多变量,可能会不可预测。

  1. Physical Interface 下拉列表中选择接口。

  2. Active MAC Address 字段中,键入主用接口的新 MAC 地址。

  3. Standby MAC Address 字段中,键入备用接口的新 MAC 地址。

  4. 点击 OK。(仅主用/主用模式)再次点击 OK

步骤 13

点击应用


配置接口监控和备用地址

默认情况下,在所有物理接口上启用监控,或者对于 Firepower 1010,则为所有 VLAN 接口。Firepower 1010 交换机端口无法进行接口监控。

您可能希望排除连接到非关键网络的接口,以免影响故障转移策略。

您最多可以在一台设备上监控 1025 个接口(跨多情景模式下的所有情景)。

如果未在向导中配置备用 IP 地址,可以手动配置这些 IP 地址。

开始之前

在多情景模式下,请在每个情景中配置接口。

过程


步骤 1

在单模式下,依次选择配置 > 设备管理 > 高可用性 > 故障转移 > 接口

在多情景模式下,在一个情景中依次选择 Configuration > Device Management > Failover > Interfaces

系统将显示配置的接口,。Monitored 列显示是否将监控某个接口作为故障转移条件的一部分。如果接口受监控,Monitored 复选框中会显示复选标记。

每个接口的 IP 地址会显示在 Active IP Address 列中。如果已配置,接口的备用 IP 地址会显示在 Standby IP Address 列中。故障转移链路和状态链路不会显示 IP 地址;您无法从此选项卡更改这些地址。

步骤 2

要禁用对所列接口的监控,请取消选中相应接口的 Monitored 复选框。

步骤 3

要启用对所列接口的监控,请取消选中相应接口的 Monitored 复选框。

步骤 4

对于每个没有备用 IP 地址的接口,请双击 Standby IP Address 字段,并在该字段中输入 IP 地址。

如果您为点对点连接使用 31 位子网掩码,请勿配置备用 IP 地址。

步骤 5

点击应用


配置非对称路由数据包支持(主用/主用模式)

在主用/主用故障转移下运行时,设备可能会收到其对等设备发起的连接的一个返回数据包。由于收到该数据包的 ASA 没有该数据包的任何连接信息,该数据包会被丢弃。主用/主用故障转移对中的两台 ASA 连接到不同的运营商,并且出站连接不使用 NAT 地址时,最常发生此丢弃。

您可以通过允许非对称路由数据包来防止返回数据包。为此,您需要将每台 ASA 上的相似接口分配到同一个 ASR 组。例如,两台 ASA 的内部接口连接到内部网络,但外部接口连接到不同的 ISP。在主设备上,将主用情景外部接口分配给 ASR 组 1;在辅助设备上,将主用情景外部接口分配给相同 ASR 组 1。当主设备外部接口收到没有其会话信息的数据包时,它会检查相同组中处于备用情景中的另一接口的会话信息;在此示例中,即 ASR 组 1。如果没有找到匹配项,数据包会被丢弃。如果找到匹配项,则会进行以下的操作:

  • 如果传入流量来自对等设备,第 2 层报头的部分或全部内容会被重写,数据包会被重定向到另一设备。只要会话处于活动状态,此重定向即可继续。

  • 如果传入流量来自相同设备上的不同接口,第 2 层报头的部分或全部内容会被重写,数据包会被重新注入数据流。



此功能不提供非对称路由;它会将非对称路由数据包恢复到正确接口。


下图显示非对称路由数据包的示例。

图 6. ASR 示例
  1. 出站会话使用主用 SecAppA 情景通过 ASA。该会话退出接口 outsideISP-A (192.168.1.1)。

  2. 由于上游某处配置了非对称路由,返回流量会使用主用 SecAppA 情景通过 ASA 上的接口 outsideISP-B (192.168.2.2) 传回。

  3. 由于没有接口 192.168.2.2 上的流量的会话信息,返回流量通常会被丢弃。但是,此接口被配置为 ASR 组 1 的一部分。设备会在配置为相同的 ASR 组 ID 的所有其他接口上查找该会话。

  4. 会话信息会在接口 outsideISP-A (192.168.1.2) 上找到,该接口在使用 SecAppB 情景的设备上处于备用状态。状态故障转移会将会话信息从 SecAppA 复制到 SecAppB。

  5. 第 2 层报头会使用接口 192.168.1.1 的信息重写,流量会被重定向,通过接口 192.168.1.2,在该接口上,流量随后会通过设备上的来源接口(SecAppA 上的 192.168.1.1)返回,而不是将流量丢弃。此转发会视需要继续,直到会话结束。

开始之前

  • 状态故障转移 - 将主用故障转移组中的接口上的会话的状态信息,传送给备用故障转移组。

  • 复制 HTTP - HTTP 会话状态信息不会传送给备用故障转移组,因此不存在于备用接口上。为了使 ASA 能够重新路由非对称路由的 HTTP 数据包,您需要复制 HTTP 状态信息。

  • 请在主设备和辅助设备上的每个主用情景中,执行本程序。

  • 您无法在一个情景中同时配置 ASR 组和流量区域。如果在情景中配置一个区域,任何情景接口都不能属于 ASR 组。

过程


步骤 1

在主设备主用情景上,依次选择配置 > 设备设置 > 路由 > ASR 组

步骤 2

对于接收非对称路由数据包的接口,请从下拉列表中选择 ASR Group ID

步骤 3

点击 Apply 以保存对运行配置所做的更改。

步骤 4

将 ASDM 连接到辅助设备,然后选择类似于主设备情景的主用情景。

步骤 5

依次选择配置 > 设备设置 > 路由 > ASR 组

步骤 6

对于此设备上的类似接口,请选择同一 ASR Group ID

步骤 7

点击 Apply 以保存对运行配置所做的更改。


管理故障转移

本部分介绍您在启用故障转移后如何管理故障转移,包括如何更改故障转移设置以及如何强制从一台设备故障转移到另一台设备。

修改故障转移设置

如果不使用向导,或者要更改设置,您可以手动配置故障转移设置。本节还包括向导中未包括的以下选项,因此您必须手动配置这些选项:

  • 用于加密故障转移流量的 IPsec 预共享密钥

  • HTTP 复制速率

  • HTTP 复制(主用/备用模式)

开始之前

在多情景模式下,请在系统执行空间中执行本程序。

过程


步骤 1

在单模式下,依次选择配置 > 设备管理 > 高可用性和可扩展性 > 故障转移 > 设置

在多情景模式下,请在系统执行空间中依次选择 Configuration > Device Management > Failover > Setup

步骤 2

选中 Enable Failover 复选框。

 

故障转移实际上并未启用,直到您将更改应用到设备。

步骤 3

要加密故障转移和状态链路上的通信,请使用以下其中一个选项:

  • IPsec Preshared Key(首选)- 此预共享密钥由 IKEv2 用于在故障转移设备之间的故障转移链路上,建立 IPsec LAN 到 LAN 隧道。注意:故障转移 LAN 到 LAN 隧道不计入 IPsec(其他 VPN)许可证。

  • Secret Key - 输入用于加密故障转移通信的密钥。如果将此字段留空,故障转移通信(包括在命令复制过程中发送的配置中的所有密码和密钥)将采用明文形式。

    Use 32 hexadecimal character key - 要将 32 个十六进制字符的密钥用作密钥,请选中此复选框。

步骤 4

LAN Failover 区域中,为故障转移链路设置以下参数:

  • Interface - 选择用于故障转移链路的接口。故障转移需要专用接口,但是,您可以与状态故障转移共享接口。

    仅未配置的接口或子接口会显示在此列表中,并且可以被选择用作故障转移链路。一旦将接口指定为故障转移链路,您将无法在 Configuration > Interfaces 窗格中编辑该接口。

  • Logical Name - 指定用于故障转移通信的接口逻辑名称,如“failover”。此名称仅供参考。

  • Active IP - 指定接口的主用 IP 地址。该 IP 地址可以是 IPv4 或 IPv6 地址。此 IP 地址应处于未使用的子网上。

  • Standby IP - 指定接口的备用 IP 地址,该地址与主用 IP 地址位于同一子网。

  • Subnet Mask - 指定子网掩码。

  • Preferred Role - 选择 PrimarySecondary 以指定此 ASA 的优选角色是主设备还是辅助设备。

步骤 5

(可选)通过执行以下操作步骤配置状态链路:

  • Interface - 选择用于状态链路的接口。您可以选择一个未配置的接口或子接口、故障转移链路或 --Use Named-- 选项。

     

    我们建议您,将两个独立的专用接口用于故障转移链路和状态链路。

    如果选择一个未配置的接口或子接口,必须提供该接口的 Active IPSubnet MaskLogical Name Standby IP

    如果选择故障转移链路,则不需要指定 Active IPSubnet MaskLogical Name Standby IP 值;系统将使用为故障转移链路指定的值。

    如果选择 --Use Named-- 选项,Logical Name 字段将成为已命名接口的下拉列表。从此列表中选择接口。不需要指定 Active IPSubnet Mask/Prefix LengthStandby IP 值。系统将使用为接口指定的值。

  • Logical Name - 指定用于状态通信的接口的逻辑名称,如“state”。此名称仅供参考。

  • Active IP - 指定接口的主用 IP 地址。该 IP 地址可以是 IPv4 或 IPv6 地址。此 IP 地址应处于不同于故障转移链路的未使用子网上。

  • Standby IP - 指定接口的备用 IP 地址,该地址与主用 IP 地址位于同一子网。

  • Subnet Mask - 指定子网掩码。

  • (可选,仅主用/备用模式) Enable HTTP Replication - 此选项允许状态故障转移将主用 HTTP 会话复制到备用防火墙。如果您不允许 HTTP 复制,则在发生故障转移时,HTTP 连接将会断开。在主用/主用模式下,为每个故障转移组设置 HTTP 复制。

     

    由于使用故障转移时从备用设备中删除 HTTP 数据流会产生延迟,所以 show conn count 输出在主用设备与备用设备上可能显示不同的数量;如果等待几秒钟再重新发出该命令,则会在两台设备上看到相同的数量。

步骤 6

Replication 区域中,设置会话复制率(以每秒连接数为单位)。您的型号决定了最小和最大速率。默认值是最大速率。要使用默认值,请选中 Use Default check 复选框。

步骤 7

点击 Apply

配置将会保存到设备。

步骤 8

如果您启用故障转移,您将会看到用于配置故障转移对等体的对话框。

  • 如果要以后连接到故障转移对等体,并手动配置匹配的设置,请点击 No

  • 要让 ASDM 自动配置故障转移对等体上的相关故障转移设置,请点击 Yes。在 Peer IP Address 字段中提供对等体 IP 地址。


强制故障转移

要强制要求备用设备成为主用设备,请执行以下程序。

开始之前

在多情景模式下,请在系统执行空间中执行本程序。

过程


步骤 1

要在设备级别强制进行故障转移,请执行以下操作:

  1. 根据您的情景模式选择屏幕:

    • 在单情景模式下,请依次选择 Monitoring > Properties > Failover > Status

    • 在多情景模式下,在 System 中依次选择 Monitoring > Failover > System

  2. 点击以下其中一个按钮:

    • 点击激活 (Make Active) 使此设备成为主用设备。

    • 点击设为备用 (Make Standby) 使另一设备成为主用设备。

步骤 2

(仅主用/主用模式)要强制在故障转移组级别进行故障转移,请执行以下操作:

  1. 在 System 中,依次选择 Monitoring > Failover > Failover Group #,其中 # 是要控制的故障转移组的编号。

  2. 点击以下按钮之一:

    • 点击激活 (Make Active),使故障转移组成为此设备上的主用故障转移组。

    • 点击设为备用 (Make Standby),使故障转移组成为另一设备上的主用故障转移组。


禁用故障转移

在一台或两台设备上禁用故障转移,将会导致每台设备保持其主用和备用状态,直到您重新加载。对于主用/主用故障转移对,故障转移组在其处于主用状态的设备上保持主用状态,而无论它们被配置为首选哪一设备。

禁用故障转移时,请参阅以下特征:

  • 备用设备/情景保持备用模式,以便两台设备都不开始传输流量(这称为假备用状态)。

  • 备用设备/情景继续使用其备用 IP 地址,即使它不再连接到主用设备/情景也是如此。

  • 备用设备/情景继续侦听故障转移链路上的连接。如果在主用设备/情景上重新启用故障转移,则备用设备/情景会在重新同步其他配置后恢复普通备用状态。

  • 不要在备用设备上手动启用故障转移将其激活;请参阅强制故障转移。如果您在备用设备上启用故障转移,将看到可能会妨碍 IPv6 流量的 MAC 地址冲突。

  • 要真正禁用故障转移,请将禁用故障转移配置保存到启动配置,然后重新加载。

开始之前

在多情景模式下,请在系统执行空间中执行本程序。

过程


步骤 1

在单模式下,依次选择配置 > 设备管理 > 高可用性和可扩展性 > 故障转移 > 设置

在多情景模式下,请在系统执行空间中依次选择 Configuration > Device Management > Failover > Setup

步骤 2

取消选中 Enable Failover 复选框。

步骤 3

点击 Apply

步骤 4

要完全禁用故障转移,请保存配置并重新加载:

  1. 点击 Save 按钮。

  2. 依次选择 Tools > System Reload,然后重新加载 ASA。


恢复故障设备

要将故障设备恢复到无故障状态,请执行以下程序。

开始之前

在多情景模式下,请在系统执行空间中执行本程序。

过程


步骤 1

要在设备级别恢复故障转移,请执行以下步骤:

  1. 根据您的情景模式选择屏幕:

    • 在单情景模式下,请依次选择 Monitoring > Properties > Failover > Status

    • 在多情景模式下,在 System 中依次选择 Monitoring > Failover > System

  2. 点击 Reset Failover

步骤 2

(仅主用/主用模式)要在故障转移组级别重置故障转移,请执行以下步骤:

  1. 在 System 中,依次选择 Monitoring > Failover > Failover Group #,其中 # 是要控制的故障转移组的编号。

  2. 点击 Reset Failover


重新同步配置

复制命令会存储在运行配置中。要将复制的命令保存到备用设备上的闪存,请依次选择 File > Save Running Configuration to Flash

监控 故障转移

此部分用于监控故障转移状态。

故障转移消息

发生故障转移时,两台 ASA 都会发送系统消息。

故障转移系统日志消息

ASA 在优先级别 2 发出大量与故障转移有关的系统日志消息,级别 2 表示一种关键情况。要查看这些消息,请参阅系统日志消息指南。与故障转移关联的消息 ID 的范围是:101xxx、102xxx、103xxx、104xxx、105xxx、210xxx、311xxx、709xxx 和 727xxx。例如,105032 和 105043 表示故障转移链路存在问题。



故障转移期间,ASA 按照逻辑先关闭接口,再启动接口,从而生成日志消息 411001 和 411002。这是正常活动。


故障转移调试消息

要查看调试消息,请输入 debug fover 命令。有关更多信息,请参阅命令参考。



由于调试输出在 CPU 进程中分配的高优先级,它可能会极大地影响系统性能。为此,应仅在对特定问题进行故障排除或与思科 TAC 进行故障排除会话过程中使用 debug fover 命令。


SNMP 故障转移陷阱

要接收故障转移的 SNMP 系统日志陷阱,请将 SNMP 代理配置为发送 SNMP 陷阱到 SNMP 管理站、定义系统日志主机,并将思科系统日志 MIB 汇集到 SNMP 管理站中。

监控故障转移状态



在故障转移事件后,您应重新启动 ASDM 或切换到 Devices 窗格中的另一台设备,以返回原始 ASA 并继续监控设备。必须执行此操作,因为当 ASDM 从设备断开然后重新连接设备时,不会重新建立监控连接。


依次选择 Monitoring > Properties > Failover 以监控主用/备用故障转移。

使用 Monitoring > Properties > Failover 区域中的以下屏幕监控主用/主用故障转移。

系统

System 窗格显示系统的故障转移状态。您还可以通过执行以下操作,控制系统的故障转移状态:

  • 切换设备的主用/备用状态。

  • 重置故障设备。

  • 重新加载备用设备。

字段

Failover state of the system - 仅显示。显示 ASA 的故障转移状态。显示的信息与从 show failover 命令收到的输出相同。有关显示的输出的详细信息,请参阅命令参考。

在 System 窗格上可执行以下操作:

  • “激活”(Make Active) - 点击此按钮使 ASA 成为主用/备用配置中的主用设备。在主用/主用配置中,点击此按钮使两个故障转移组在 ASA 上都变为主用状态。

  • “设为备用”(Make Standby) - 点击此按钮使 ASA 成为主用/备用对中的备用设备。在主用/主用配置中,点击此按钮使两个故障转移组在 ASA 上都变为备用状态。

  • 重置故障转移 - 点击此按钮将系统从故障状态重置到备用状态。您无法将系统重置到主用状态。点击主用设备的此按钮可重置备用设备。

  • “重新加载备用”(Reload Standby) - 点击此按钮可强制重新加载备用设备。

  • Refresh - 点击此按钮可刷新 Failover state of the system 字段中的状态信息。

故障转移组 1 和故障转移组 2

“故障转移组 1”和“故障转移组 2”窗格显示选定组的故障转移状态。您还可以通过切换组的主用/备用状态或通过重置故障组来控制该组的故障转移状态。

字段

Failover state of Group[x] - 仅显示。显示选定故障转移组的故障转移状态。显示的信息与从 show failover group 命令收到的输出相同。

您可从此窗格执行以下操作:

  • Make Active - 点击此按钮使故障转移组在 ASA 上变为主用状态。

  • Make Standby - 点击此按钮使故障转移组在 ASA 上变为备用状态。

  • 重置故障转移 - 点击此按钮将系统从故障状态重置到备用状态。您无法将系统重置到主用状态。点击主用设备的此按钮可重置备用设备。

  • Refresh - 点击此按钮可刷新 Failover state of the system 字段中的状态信息。

故障转移历史记录

功能名称

版本

功能信息

主用/备用故障转移

7.0(1)

引入了此功能。

主用/主用故障转移

7.0(1)

引入了此功能。

故障转移密钥支持使用十六进制值

7.0(4)

现在可以指定十六进制值用于故障转移链路加密。

修改了以下屏幕:Configuration > Device Management > High Availability > Failover > Setup。

支持故障转移密钥的主密码

8.3(1)

故障转移密钥现在支持主密码,该密码用于加密运行配置和启动配置中的共享密钥。如果您在不同 ASA 之间复制共享密钥(例如通过 more system:running-config 命令),您可以成功复制和粘贴加密的共享密钥。

 

failover keyshow running-config 输出中显示为 ****;这种遮掩密钥无法复制。

无 ASDM 更改。

添加了故障转移的 IPv6 支持。

8.2(2)

修改了以下屏幕:

Configuration > Device Management > High Availability > Failover > Setup


Configuration > Device Management > High Availability > Failover > Interfaces

在“同时”启动过程中,更改为故障转移组设备首选项。

9.0(1)

较早的软件版本中允许“同时”启动,以便故障转移组无需 preempt 命令即可在首选设备上变为主用状态。但此功能现已更改,以使两个故障转移组在要启动的第一台设备上都变为主用状态。

支持 IPsec LAN 到 LAN 隧道加密故障转移和状态链路通信。

9.1(2)

现在可以将 IPSec LAN 到 LAN 隧道用于故障转移和状态链路加密,而不是对故障转移密钥使用专有加密。

 

故障转移 LAN 到 LAN 隧道不计入 IPSec(其他 VPN)许可证。

修改了以下菜单项:配置 > 设备管理 > 高可用性 > 故障转移 > 设置

禁用硬件模块的运行状况监控

9.3(1)

默认情况下,ASA 会监控 ASA FirePOWER 模块等已安装硬件模块的运行状况。如果您不希望硬件模块故障触发故障转移,则可以禁用模块监控。

修改了以下屏幕:Configuration > Device Management > High Availability and Scalability > Failover > Interfaces

锁定故障转移对中的备用设备或备用情景上的配置更改

9.3(2)

现在可以锁定备用设备(主用/备用故障转移)或备用情景(主用/主用故障转移)上的配置更改,因此,除了正常的配置同步之外,将无法在备用设备上做出更改。

修改了以下屏幕:Configuration > Device Management > High Availability and Scalability > Failover > Setup

在 ASA 5506H 上启用管理 1/1 接口作为故障转移链路

9.5(1)

现在您只能在 ASA 5506H 上将管理 1/1 接口配置为故障转移链路。此功能允许您使用设备上的所有其他接口作为数据接口。说明:如果您使用了此功能,便不能使用 ASA Firepower 模块,因为它要求管理 1/1 接口仍作为常规管理接口。

修改了以下菜单项:配置 > 设备管理 > 高可用性和可扩展性 > 故障转移 > 设置

现在支持在故障转移和 ASA 集群中增强运营商级 NAT

9.5(2)

对于运营商级或大规模 PAT,您可以为每台主机分配端口块,而无需通过 NAT 一次分配一个端口转换(请参阅 RFC 6888)。现在支持在故障转移和 ASA 集群部署中使用此功能。

未修改任何菜单项。

缩短了使用主用/备用故障转移时从 Secure Client 进行动态 ACL 同步的时间

9.6(2)

当您在故障转移对上使用 Secure Client 时,将关联的动态 ACL (dACL) 同步到备用设备的时间现在已缩短。以前,对于大量 dACL,同步时间可能需要几小时,在此期间,备用设备会一直忙于同步而不是提供高度可用的备份。

未修改任何菜单项。

多情景模式下 Secure Client 连接的有状态故障转移

9.6(2)

现在,多情景模式下 Secure Client 连接支持有状态故障转移

未修改任何菜单项。

现在,可为故障转移配置接口链路状态监控轮询以加快检测速度

9.7(1)

默认情况下,故障转移对中的每个 ASA 都会每隔 500 毫秒检查一次其接口的链接状态。现在,您可以在 300 毫秒和 799 毫秒之间配置轮询间隔;例如,如果将轮询时间设置为 300 毫秒,ASA 则可以更快地检测接口故障并触发故障转移。

修改了以下菜单项:配置 > 设备管理 > 高可用性和可扩展性 > 故障转移 > 标准

Firepower 9300 和 4100 上支持使用双向转发检测 (BFD) 进行主用/备用故障转移运行状况监控

9.7(1)

您可以针对 Firepower 9300 和 4100 上主用/备用对两台设备之间的故障转移运行状况检查启用双向转发检测 (BFD)。将 BFD 用于运行状况检查比默认健康检查方法更可靠,并且 CPU 占用更少。

修改了以下菜单项:配置 > 设备管理 > 高可用性和可扩展性 > 故障转移 > 设置

禁用故障转移延迟

9.15(1)

当您使用网桥组或 IPv6 DAD 时,当发生故障转移时,新的主用设备会等待 3000 毫秒,等待备用设备完成网络任务并转换到备用状态。然后,主用设备便可以开始传输流量。要避免此类延迟,您可以禁用等待时间,主用设备将在备用设备转换之前开始传输流量。

新增或修改的菜单项:配置 > 设备管理 > 高可用性和可扩展性 > 故障转移 > 启用故障转移等待对等状态

配置同步优化功能可实现更快的高可用性对

9.18(1)

配置同步优化功能通过交换配置散列值来比较加入设备和主用设备的配置。如果在主用设备和加入设备上计算的散列值匹配,则加入设备将跳过完全配置同步并重新加入 HA。此功能可实现更快的 HA 对等,并缩短维护窗口和升级时间。

心跳模块冗余

9.20(1)

在 ASA 高可用性的数据平面中引入了额外的心跳模块。该心跳模块有助于避免由于控制平面上的流量拥塞或 CPU 过载而可能发生的错误故障转移或裂脑情况。