نحوه انجام تنظیمات Device Failover و link Failover بر روی فایروال سیسکو ASA
Device Failover و Link Failover در سیسکو ASA
یکی از نیازمندیهای حیاتی طراحی شبکه در محیطهای عملیاتی در نظر گرفتن بدترین حوادث ممکن برای تجهیزات زیرساختی شبکه میباشد. با توجه به اینکه تجهیزات زیرساختی ممکن است در اثر خرابی از مدار خارج شوند، بنابراین یکی از مواردی که بایستی در طراحیهای خود در نظر بگیریم نسخه پشتیبان برای تجهیزات میباشد. در این پست میخواهیم با هم کار راه اندازی HA و Link Failover در فایروال سیسکو ASA را در سناریوی زیر انجام دهیم.
فعال کردن HA بر روی فایروال سیسکو ASA
در اینجا تنظیمات مربوط به تجهیز اصلی یا Primary را انجام میدهیم.
failover
failover lan unit primary
failover lan interface HA g0/4
failover interface ip HA 172.19.19.1 255.255.255.0 standby 172.19.19.2
failover link monitor g0/5
failover interface ip monitor 172.20.20.1 255.255.255.0 standby 172.20.20.2
failover replication http
failover key secretkey
int g0/4
no shu
int g0/5
no shu
بعد از انجام تنظیمات مربوط به دستگاه اصلی تنظیمات مربوط به دستگاه پشتیبان یا Secondary را از طریق دستورات زیر انجام میدهیم
failover
failover lan unit secondary
failover lan interface HA g0/4
failover interface ip HA 172.19.19.1 255.255.255.0 standby 172.19.19.2
failover link monitor g0/5
failover interface ip monitor 172.20.20.1 255.255.255.0 standby 172.20.20.2
failover replication http
failover key secretkey
int g0/4
no shu
int g0/5
no shu
انجام تنظیمات مربوط به Link Failover بر روی ASA (تجهیز Primary)
interface redundant 1
member-interface gigabitEthernet 0/0
member-interface gigabitEthernet 0/2
nameif external
no shu
ip address 172.40.20.1 255.255.255.0 standby 172.40.20.2
no shu
interface redundant 2
member-interface gigabitEthernet 0/1
member-interface gigabitEthernet 0/3
nameif internal
security-level 100
ip address 172.16.35.1 255.255.255.0 standby 172.16.35.2
no shu
interface gigabitEthernet 0/0
no shu
interface gigabitEthernet 0/1
no shu
interface gigabitEthernet 0/2
no shu
interface gigabitEthernet 0/3
no shu
تنظیمات دسترسی به ASDM و SSH (تجهیز Primary)
hostname HQ-FW1
domain-name iranshell.local
username admin password admin
http server enable
aaa authentication http console LOCAL
aaa authentication ssh console LOCAL
http 172.16.35.0 255.255.255.0 internal
ssh 172.16.35.0 255.255.255.0 internal
تنظیمات روترها
روترهای R7 و R8 در این سناریو با استفاده از پروتکل HSRP به صورت پشتیبان در نظر گرفته شده تا در صورت رخ دادن هرگونه حادثهای Failover بین این دو روتر انجام شود. همچنین روتر R9 به عنوان Edge شبکه در نظر گرفته شده است . در اینجا میتوانید با استفاده از دستورات زیر این روترها را تنظیم کنید.
R7 E0/1 IP Configuration
interface ethernet 0/1
ip address 20.20.20.10 255.255.255.0
ip nat outside
no shutdown
R8 E0/1 IP Configuration
interface ethernet 0/1
ip add 10.10.10.10 255.255.255.0
ip nat outside
no shutdown
R7 E0/0 IP Configuration
interface ethernet 0/0
ip address 172.40.20.101 255.255.255.0
ip nat inside
no shutdown
R8 E0/0 IP Configuration
interface ethernet 0/0
ip add 172.40.20.100 255.255.255.0
ip nat inside
no shutdown
R7 HSRP Configuration
track 1 interface Ethernet0/1 ip routing
interface ethernet 0/0
standby 1 ip 172.40.20.111
standby 1 authentication md5 key-string cisco
standby 1 priority 150
standby 1 preempt
standby 1 preempt delay minimum 5
standby 1 track 1 decrement 100
R8 HSRP Configuration
interface ethernet 0/0
standby 1 ip 172.40.20.111
standby 1 authentication md5 key-string cisco
standby 1 priority 110
standby 1 preempt
standby 1 preempt delay minimum 5
R7 Tarffic NAT Configuratin
access-list 101 permit ip 172.40.20.0 0.0.0.255 any
ip nat inside source list 101 interface Ethernet0/1 overload
ip route 0.0.0.0 0.0.0.0 20.20.20.1
interface range e0/0 -3
duplex full
no shutdown
R8 Tarffic NAT Configuratin
access-list 101 permit ip 172.40.20.0 0.0.0.255 any
ip nat inside source list 101 interface Ethernet0/1 overload
ip route 0.0.0.0 0.0.0.0 10.10.10.1
interface range e0/0 -3
duplex full
no shutdown
R9 Configuration
interface Ethernet0/0
ip address 10.10.10.1 255.255.255.0
ip nat inside
no shutdown
interface Ethernet0/1
ip address 20.20.20.1 255.255.255.0
ip nat inside
no shutdown
interface Ethernet0/2
ip address dhcp
ip nat outside
no shutdown
interface range e0/0 -3
duplex full
no shutdown
no ip domain-lookup
access-list 101 permit ip 10.10.10.0 0.0.0.255 any
access-list 101 permit ip 20.20.20.0 0.0.0.255 any
ip nat inside source list 101 interface Ethernet0/2 overload