نحوه انجام تنظیمات Device Failover و link Failover بر روی فایروال سیسکو ASA

Device Failover و Link Failover در سیسکو ASA

یکی از نیازمندی‌های حیاتی طراحی شبکه در محیط‌های عملیاتی در نظر گرفتن بدترین حوادث ممکن برای تجهیزات زیرساختی شبکه می‌باشد. با توجه به اینکه تجهیزات زیرساختی ممکن است در اثر خرابی از مدار خارج شوند، بنابراین یکی از مواردی که بایستی در طراحی‌های خود در نظر بگیریم نسخه پشتیبان برای تجهیزات می‌باشد. در این پست می‌خواهیم با هم کار راه اندازی HA و Link Failover در فایروال سیسکو ASA را در سناریوی زیر انجام دهیم.

فعال کردن HA بر روی فایروال سیسکو ASA

در اینجا تنظیمات مربوط به تجهیز اصلی یا Primary را انجام می‌دهیم.

failover
failover lan unit primary
failover lan interface HA g0/4
failover interface ip HA 172.19.19.1 255.255.255.0 standby 172.19.19.2
failover link monitor g0/5
failover interface ip monitor 172.20.20.1 255.255.255.0 standby 172.20.20.2
failover replication http
failover key secretkey
int g0/4
no shu
int g0/5
no shu

بعد از انجام تنظیمات مربوط به دستگاه اصلی تنظیمات مربوط به دستگاه پشتیبان یا Secondary را از طریق دستورات زیر انجام می‌دهیم

failover
failover lan unit secondary
failover lan interface HA g0/4
failover interface ip HA 172.19.19.1 255.255.255.0 standby 172.19.19.2
failover link monitor g0/5
failover interface ip monitor 172.20.20.1 255.255.255.0 standby 172.20.20.2
failover replication http
failover key secretkey
int g0/4
no shu
int g0/5
no shu

انجام تنظیمات مربوط به Link Failover بر روی ASA (تجهیز Primary)

interface redundant 1
member-interface gigabitEthernet 0/0
member-interface gigabitEthernet 0/2
nameif external 
no shu
ip address 172.40.20.1 255.255.255.0 standby 172.40.20.2
no shu
interface redundant 2                                   
member-interface gigabitEthernet 0/1
member-interface gigabitEthernet 0/3
nameif internal
security-level 100
ip address 172.16.35.1 255.255.255.0 standby 172.16.35.2
no shu
interface gigabitEthernet 0/0
no shu
interface gigabitEthernet 0/1
no shu
interface gigabitEthernet 0/2
no shu
interface gigabitEthernet 0/3
no shu

تنظیمات دسترسی به ASDM و SSH (تجهیز Primary)

hostname HQ-FW1
domain-name iranshell.local
username admin password admin
http server enable
aaa authentication http console LOCAL
aaa authentication ssh console LOCAL
http 172.16.35.0 255.255.255.0 internal
ssh 172.16.35.0 255.255.255.0 internal

تنظیمات روترها

روترهای R7 و R8 در این سناریو با استفاده از پروتکل HSRP به صورت پشتیبان در نظر گرفته شده تا در صورت رخ دادن هرگونه حادثه‌ای Failover بین این دو روتر انجام شود. همچنین روتر R9 به عنوان Edge شبکه در نظر گرفته شده است . در اینجا می‌توانید با استفاده از دستورات زیر این روترها را تنظیم کنید.

R7 E0/1 IP Configuration
interface ethernet 0/1
ip address 20.20.20.10 255.255.255.0
ip nat outside
no shutdown

R8 E0/1 IP Configuration
interface ethernet 0/1
ip add 10.10.10.10 255.255.255.0
ip nat outside
no shutdown

R7 E0/0 IP Configuration
interface ethernet 0/0
ip address 172.40.20.101 255.255.255.0
ip nat inside
no shutdown

R8 E0/0 IP Configuration
interface ethernet 0/0
ip add 172.40.20.100 255.255.255.0
ip nat inside
no shutdown

R7 HSRP Configuration
track 1 interface Ethernet0/1 ip routing
interface ethernet 0/0
standby 1 ip 172.40.20.111
standby 1 authentication md5 key-string cisco
standby 1 priority 150
standby 1 preempt
standby 1 preempt delay minimum 5
standby 1 track 1 decrement 100

R8 HSRP Configuration
interface ethernet 0/0
standby 1 ip 172.40.20.111
standby 1 authentication md5 key-string cisco
standby 1 priority 110
standby 1 preempt
standby 1 preempt delay minimum 5 

R7 Tarffic NAT Configuratin
access-list 101 permit ip 172.40.20.0 0.0.0.255 any
ip nat inside source list 101 interface Ethernet0/1 overload
ip route 0.0.0.0 0.0.0.0 20.20.20.1
interface range e0/0 -3
duplex full
no shutdown

R8 Tarffic NAT Configuratin
access-list 101 permit ip 172.40.20.0 0.0.0.255 any
ip nat inside source list 101 interface Ethernet0/1 overload
ip route 0.0.0.0 0.0.0.0 10.10.10.1
interface range e0/0 -3
duplex full
no shutdown

R9 Configuration
interface Ethernet0/0
ip address 10.10.10.1 255.255.255.0
ip nat inside
no shutdown
interface Ethernet0/1
ip address 20.20.20.1 255.255.255.0
ip nat inside
no shutdown
interface Ethernet0/2
ip address dhcp
ip nat outside
no shutdown
interface range e0/0 -3
duplex full
no shutdown
no ip domain-lookup
access-list 101 permit ip 10.10.10.0 0.0.0.255 any
access-list 101 permit ip 20.20.20.0 0.0.0.255 any
ip nat inside source list 101 interface Ethernet0/2 overload