故障转移配置中的两台设备必须：

• 型号相同。

  对于 Firepower 9300，高可用性仅在同种类型模块之间受支持；但是两个机箱可以包含混合模块。例如，每个机箱都设有 SM-56、SM-48 和 SM-40。可以在 SM-56 模块之间、SM-48 模块之间和 SM-40 模块之间创建高可用性对。

• 拥有相同数量和类型的接口。

  对于平台模式下的Firepower 4100/9300 机箱，在启用之前，所有接口都必须在 FXOS 中进行相同的预配置。故障转移如果您在启用故障转移后更改接口，请在备用设备上的 FXOS 中更改接口，然后在主用设备上进行相同更改。 如果在 FXOS 中删除一个接口（例如，如果您移除网络模块，移除 EtherChannel，或将某个接口重新分配到 EtherChannel），则 ASA 配置会保留原始命令，以便您可以进行任何必要的调整；从配置中删除接口会产生广泛的影响。您可以在 ASA OS 中手动移除旧的接口配置。

• 安装有相同的模块（如有）。

• 安装有相同的 RAM。

如果在 故障转移 配置中使用闪存大小不同的设备，请确保闪存较小的设备具有足够的空间来容纳软件映像文件和配置文件。如果闪存较小的设备没有足够的空间，从闪存较大的设备向闪存较小的设备进行配置同步将会失败。

故障转移 配置中的两台设备必须：

• 处于相同的情景模式（单情景或多情景）。

• 单一模式下：处于相同的防火墙模式（路由或透明）。

  在多情景模式下，防火墙模式在情景级别设置，您可以使用混合模式。

• 具有相同的主要（第一个数字）和次要（第二个数字）软件版本。但是，您可以在升级过程中临时使用不同的软件版本；例如，可以将一台设备从 8.3(1) 版本升级到 8.3(2) 版本，并使故障转移保持主用状态。我们建议将两台设备都升级为相同版本，以便确保长期的兼容性。

• 具有相同的 Secure Client 映像。如果在执行无中断升级时，故障转移对具有不匹配的映像，则无客户端 SSL VPN 连接会在升级过程的最终重新启动步骤终止，数据库会显示一个孤立会话，并且 IP 池会显示分配给客户端的 IP 地址“正在使用中”。

• 处于相同的 FIPS 模式下。

• （Firepower 4100/9300）具有相同的流量分流模式，同时启用或禁用。

故障转移配置下的两台设备不需要具有相同的许可证；许可证将整合为故障转移集群许可证。

故障转移对中的两台设备会不断地通过故障转移链路进行通信，以便确定每台设备的运行状态。

要使用有状态故障转移，必须配置有状态故障转移链路（也称为有状态链路），以便传送连接状态信息。

我们建议，让故障转移链路和数据接口使用不同的路径，以便降低所有接口同时发生故障的可能性。如果故障转移链路发生故障，ASA 可使用数据接口来确定是否需要进行故障转移。随后，故障转移操作会被暂停，直到故障转移链路恢复正常。

请参阅以下连接情景，以设计具有弹性的故障转移网络。

情景 1 - 不推荐

如果单台交换机或一组交换机用于连接两台 ASA 之间的故障转移和数据接口，则交换机或交换机间链路发生故障时，两台 ASA 都都将处于主用状态。因此，不推荐使用下图中显示的 2 种连接方法。

情景 2 - 推荐

我们不推荐让故障转移链路和数据接口使用相同的交换机，而是应使用不同的交换机或使用直连电缆来连接故障转移链路，如下图所示。

情景 3 - 推荐

如果 ASA数据接口连接到多台交换机，则故障转移链路可以连接到其中一台交换机，最好是处于网络的安全一侧（内部）的交换机，如下图所示。

发生故障转移时，所有活动连接将会被丢弃。在新的主用设备接管时，客户端需要重新建立连接。

注	无客户端 SSL VPN 的某些配置元素（如书签和自定义）使用 VPN 故障转移子系统，该子系统是状态故障转移的一部分。您必须使用状态故障转移，在同步故障转移对中的成员之间同步这些元素。不推荐将无状态（常规）故障转移用于无客户端 SSL VPN。

启用状态故障转移时，主用设备会不断将每个连接的状态信息发送至备用设备，在主用/主用故障转移期间，在主用和备用故障转移组之间发送。发生故障转移之后，相同的连接信息在新主用设备上可用。支持的最终用户应用不需要通过重新连接来保持同一通信会话。

当主用设备故障转移到备用设备时，所连接的运行生成树协议 (STP) 的交换机端口在感知到拓扑变化时，会进入阻塞状态 30 秒至 50 秒。当端口处于阻塞状态时，为避免流量丢失，您可以根据交换机端口模式，配置以下任一变通方案：

• 访问模式 - 启用交换机上的 STP PortFast 功能：

  
  interface interface_id
    spanning-tree portfast
  
  

  链路打开时，PortFast 功能会立即使端口转换到 STP 转发模式。该端口仍会参与 STP。因此，如果端口是环路的一部分，则端口最终会转换为 STP 阻塞模式。

• Trunk 模式 - 使用 EtherType 访问规则阻止桥接组成员接口上 ASA 上的 BPDU。

  
  access-list id ethertype deny bpdu
  access-group id in interface name1
  access-group id in interface name2
  
  

  阻止 BPDU 会在交换机上禁用 STP。在您的网络布局中，确保没有任何环路涉及 ASA。

如果以上选项均不可行，则您可以使用以下任一不太理想的变通方案，这些方案可能会影响故障转移功能或 STP 稳定性。

• 禁用接口监控。

• 将接口保持时间增大到一个高值，这将允许 STP 在 ASA 进行故障转移之前收敛。

• 降低 STP 计时器的值，以 STP 在接口保持时间之内融合。

ASA 会通过 Hello 消息监控故障转移链路，进而确定其他设备的运行状况。当设备在故障转移链路上没有收到三条连续的 Hello 消息时，设备将在每个数据接口（包括故障转移链路）上发送接口 LANTEST 消息，来验证对等体是否响应。 对于 Firepower 9300 和 4100系列，您可以启用双向转发检测 (BFD) 监控，这比 Hello 消息更可靠。ASA 采取的操作取决于来自其他设备的响应。请参阅以下可以执行的操作：

• 如果 ASA 在故障转移链路上收到响应，则不会进行故障转移。

• 如果 ASA 在故障转移链路上未收到响应，但在数据接口上收到响应，则设备不会进行故障转移。故障转移链路会标记为发生故障。您应尽快恢复故障转移链路，因为当故障转移切换发生故障时，设备无法故障转移到备用设备。

• 如果 ASA 未在任何接口上收到响应，则备用设备会切换至主用模式，并会将另一台设备分类为故障设备。

每个高可用性单位通过集群控制链路定期发送广播保持连接心跳数据包。如果控制平面忙于处理流量，有时心跳数据包无法到达对等体，或者对等体由于 CPU 过载而无法处理心跳数据包。当对等体无法在可配置的超时期限内传达保持连接状态时，会发生错误的故障转移或裂脑场景。

数据平面中的心跳模块有助于避免由于控制平面中的流量拥塞而发生错误的故障转移或裂脑。

• 附加心跳模块的工作原理与控制平面模块类似，但使用数据平面传输基础设施发送和接收心跳消息。

• 当对等体在数据平面中收到心跳数据包时，计数器会递增。

• 如果控制平面中的心跳传输失败，则节点会检查数据平面中的心跳计数器。如果计数器递增，则表示对等体处于活动状态，并且集群在这种情况下不会执行故障转移。

注	每当启用 HA 时，都会默认启用额外的心跳模块。您不必为数据平面中的其他心跳模块设置轮询间隔。此模块使用您为控制平面设置的相同心跳间隔。 此功能在版本 7.3 中不可用。

您最多可以监控 1025 个接口（在多情景模式下，会在所有情景之间进行分配）。您应监控重要的接口。例如，在多情景模式下，您可以配置一个用于监控共享接口的情景：因为接口是共享的，所有情景都可以从监控中受益。

当设备在 15 个秒 （默认值），未在受监控的接口上收到 hello 消息时，将运行接口测试。（要更改时间段，请参阅配置 > 设备管理 > 高可用性和可扩展性 > 故障转移 > 条件 > 故障转移轮询次数。）如果对于某个接口，其中一个接口测试失败，但在另一设备上的此接口继续成功传送流量，则此接口会被视为发生故障，ASA 停止运行测试。

如果满足为故障接口数量定义的阈值（请参阅命令，或者对于主用/主用故障转移，请使用命令）（请参阅配置设备管理高可用性和可扩展性故障转移标准接口策略）（请参阅设备设备管理高可用性故障转移）触发条件（Trigger Criteria）），并且主用设备的故障接口比备用设备多，则发生故障转移。 > > > > > 如果某个接口在两个单元上都失败，则这两个接口会进入“Unknown”状态，并且不会计入由故障转移接口政策制定的故障转移限制。

如果接口收到任何流量，则该接口会再次变为正常工作状态。如果不再满足接口故障阈值，发生故障的 ASA 会回到备用模式。

如果接口上配置了 IPv4 和 IPv6 地址，ASA 会使用 IPv4 地址执行运行状况监控。如果接口上仅配置了 IPv6 地址，则 ASA 会使用 IPv6 邻居发现，而不是 ARP 来执行运行状况监控测试。对于广播 Ping 测试，ASA 会使用所有的 IPv6 节点地址 (FE02::1)。

注	如果故障设备未恢复，并且您认为其应未发生故障，则可通过输入 failover reset 命令重置状态。但是，如果故障转移条件仍然存在，设备将再次失败。

当故障转移对中的任意一台或两台设备启动时，系统会执行运行配置复制。

在主用/备用故障转移中，配置始终会从主用设备同步到备用设备。

在主用/主用故障转移中，第二个启动的任何设备都会从第一个启动的设备获取正在运行的配置，无论指定的主或从属启动设备如何都是如此。在两个设备正常运行后，在系统执行空间中输入的命令会从其上的故障转移组 1 处于主用状态的设备复制。

备用/第二个设备完成其初始启动后，会清除其运行配置（需要与主用设备通信的failover 命令除外），而主用设备则会向备用设备发送其完整配置。复制开始时，主用设备上的 ASA 控制台会显示消息“Beginning configuration replication: Sending to mate”；完成时，ASA 显示消息“End Configuration Replication to mate”。根据配置的大小，复制可能需要几秒到几分钟。

在接收配置的设备上，配置仅存在于运行内存中。您应该将配置保存到闪存。例如，在主用/主用故障转移中，请在故障转移组 1 处于主用状态的设备的系统执行空间中输入 write memory all 命令。该命令会复制到对等设备，该对等设备将继续将其配置写入到闪存。

注	在复制时，在发送配置的设备上输入的命令可能无法正确地复制到对等设备，并且在接收配置的设备上输入的命令可能已被接受的配置覆盖。在配置复制过程中，应避免在故障转移对中的任一设备上输入命令。

配置同步不复制以下文件和配置组件，因此您必须手动复制这些文件，以便它们匹配：

• Secure Client 映像

• CSD 映像

• Secure Client 配置文件

  ASA 使用存储在 cache:/stc/profiles 中的 Secure Client 配置文件的缓存文件，而不是存储在闪存文件系统中的文件。要将 Secure Client 配置文件复制到备用设备，请执行以下其中一项操作：

  • 在主用设备上输入 write standby 命令。

  • 在主用设备上重新应用配置文件。

  • 重新加载备用设备。

• 本地证书颁发机构 (CA)

• ASA 映像

• ASDM 映像

启动后，您在主用设备上输入的命令会被立即复制到备用设备。不必将主用配置保存到闪存才能复制命令。

在主用/主用故障转移中，在系统执行空间中输入的更改复制自其上的故障转移组 1 处于主用状态的设备。

未在要进行命令复制的相应设备上输入更改会导致配置不同步。在进行下一次初始配置同步时，这些更改可能会丢失。

以下命令会复制到备用 ASA：

• 除 mode、firewall 和 failover lan unit 之外的所有配置命令

• copy running-config startup-config

• delete

• mkdir

• rename

• rmdir

• write memory

以下命令不会复制到备用 ASA：

• 除 copy 命令外的所有形式的 copy running-config startup-config 命令

• 除 write 命令外的所有形式的 write memory 命令

• debug

• failover lan unit

• firewall

• show

• terminal pager 和 pager

在挂起或恢复故障转移后发生节点重启或节点重新加入时，加入设备会清除其运行配置。主用设备将其整个配置发送到加入设备，以进行完整的配置同步。如果主用设备的配置较大，则加入设备需要几分钟才能同步配置。

配置同步优化功能通过交换配置散列值来比较加入设备和主用设备的配置。如果在主用设备和加入设备上计算的散列值匹配，则加入设备将跳过完全配置同步并重新加入 HA。此功能可实现更快的 HA 对等，并缩短维护窗口和升级时间。

在故障转移对中这两台设备之间的主要区别是哪台是主用设备，哪台是备用设备，即要使用哪些 IP 地址以及哪台设备积极传递流量。

但是，设备之间还存在一些取决于哪一设备为主设备（在配置中指定），哪一设备为辅助设备的差别：

• 如果两台设备同一时间启动（并且运行状况相同），则主设备总是会成为主用设备。

• 主设备 MAC 地址始终与主用 IP 地址相匹配。此规则的例外是，当辅助设备成为主用设备并且无法通过故障转移链路获取主设备 MAC 时。在这种情况下，会使用辅助设备的 MAC 地址。

主用设备按以下方式确定：

• 如果某台设备启动，并检测到对等体已作为主用设备运行，则该设备会成为备用设备。

• 如果某台设备启动，并且未检测到对等体，则该设备会成为主用设备。

• 如果两台设备同时启动，则主设备成为主用设备，辅助设备成为备用设备。

在主用/备用故障转移中，故障转移会在设备级别进行。 即使在多情景模式下运行的系统上，您也无法对个别情景或一组情景进行故障转移。

下表显示了每个故障事件的故障转移操作。对于每种故障事件，该表显示了故障转移策略（故障转移或禁用故障转移）、主用设备执行的操作、备用设备执行的操作，以及有关故障转移条件和操作的所有特别说明。

在主用/主用故障转移配置中，两台 ASA 均可传递网络流量。主用/主用故障转移仅在多情景模式下适用于 ASA。在主用/主用故障转移中，您可将 ASA 上的安全情景最多划分为 2 个故障转移组。

故障转移组就是一个或多个安全情景的逻辑组。您可以将故障转移组指定为在主 ASA 上处于主用状态，并将故障转移组 2 指定为在辅助 ASA 上处于主用状态。发生故障转移时，会在故障转移组级别进行。例如，根据接口故障模式，故障转移组 1 可能会故障转移到辅助 ASA，相应地，故障转移组 2 可能故障转移到主 ASA。在以下情况下可能发生此事件：故障转移组 1 中的接口在主 ASA 上发生故障，但在辅助 ASA 上正常工作，而故障转移组 2 中的接口在辅助 ASA 上发生故障，但在主 ASA 上正常工作。

管理情景始终是故障转移组 1 的成员。默认情况下，所有未分配的安全情景也是故障转移组 1 的成员。如果希望使用主用/主用故障转移，但对多情景不感兴趣，最简单的配置是添加一个额外的情景并将其分配给故障转移组 2。

注	配置主用/主用故障转移时，请确保两台设备的整合流量在每台设备的处理能力之内。

注	需要时，可将两个故障转移组分配到一台 ASA，但您将无法利用具有两台主用 ASA 的优势。

与在主用/备用故障转移中一样，主用/主用故障转移对中的一台设备被指定为主设备，另一台指定为辅助设备。不同于主用/备用故障转移的是，当两台设备同时启动时，此指定不指示哪一台设备会成为主用设备。相反地，主设备/辅助设备指定会进行两个操作：

• 两台设备同时启动时，主设备会提供运行配置。

• 配置中的每个故障转移组都配置了主设备或辅助设备首选项。与抢占一起使用时，此首选项可确保故障转移组启动后在正确的设备上运行。如果不使用抢占，则两个组均在第一台要启动的设备上运行。

故障转移组在其上变为主用状态的的设备按以下方式确定：

• 一台设备启动时，如果对等设备不可用，则两个故障转移组都会在该设备上变为主用状态。

• 一台设备启动时，如果对等设备处于主用状态（而且两个故障转移组都处于主用状态），则故障转移组将在主用设备上保持主用状态，而无论故障转移组的主设备或辅助设备首选项如何，直到出现以下情形之一：

  • 发生故障转移。

  • 手动强制执行故障转移。

  • 为故障转移组配置了抢占，这导致故障转移组在设备变得可用时，自动在首选设备上变为主用状态。

在主用/主用故障转移配置中，故障转移会在故障转移组级别，而不是系统级别进行。例如，如果您将两个故障转移组指定为主设备上的主用故障转移组，并且故障转移组 1 发生故障，则故障转移组 2 会在主设备上保持主用，而故障转移组 1 则会在辅助设备上变为主用状态。

由于故障转移组可以包含多个情景，并且每个情景可以包含多个接口，因此有可能单个情景中的所有接口都发生故障而不导致相关故障转移组发生故障。

下表显示了每个故障事件的故障转移操作。对于每种故障事件，给出了策略（是否发生故障转移）、主用故障转移组的操作和备用故障转移组的操作。

ASA 在优先级别 2 发出大量与故障转移有关的系统日志消息，级别 2 表示一种关键情况。要查看这些消息，请参阅系统日志消息指南。与故障转移关联的消息 ID 的范围是：101xxx、102xxx、103xxx、104xxx、105xxx、210xxx、311xxx、709xxx 和 727xxx。例如，105032 和 105043 表示故障转移链路存在问题。

注	故障转移期间，ASA 按照逻辑先关闭接口，再启动接口，从而生成日志消息 411001 和 411002。这是正常活动。

要查看调试消息，请输入 debug fover 命令。有关更多信息，请参阅命令参考。

注	由于调试输出在 CPU 进程中分配的高优先级，它可能会极大地影响系统性能。为此，应仅在对特定问题进行故障排除或与思科 TAC 进行故障排除会话过程中使用 debug fover 命令。

要接收故障转移的 SNMP 系统日志陷阱，请将 SNMP 代理配置为发送 SNMP 陷阱到 SNMP 管理站、定义系统日志主机，并将思科系统日志 MIB 汇集到 SNMP 管理站中。