防火墙冗余-ASA5520 Failover

  利用Failover技术可实现防火墙的冗余，提升可用性。

  实施了Failover的两台防火墙存在主备关系，工做时，对其余上下行设备来讲，就可视为一台防火墙。

  在active上可进行正常的配置运转与操做，standby只是做为备份来存在，standby上不能进行任何形式的配置操做。

  看成为active的防火墙出现局部端口故障乃至全局故障时，standby会自动进行切换。

  邻接设备要有两条连线分别链接两台防火墙上，如果三层设备，建议中间嫁接一个功能较为强大的交换机来互连。

 

配置举例：

两台asa5520作冗余，上接一台NAT路由器。

Activeasa5520 Config:

interface GigabitEthernet0/0

 nameif outside

 security-level 0

 ip address 192.168.2.1 255.255.255.248 standby 192.168.2.2 

!

interface GigabitEthernet0/1

 description LAN Failover Interface

!

failover

failover lan unit primary

failover lan interface LAN_FailoverGigabitEthernet0/1

failover interface ip LAN_Failover 10.1.1.1255.255.255.0 standby 10.1.1.2

 

Standbyasa5520 Config:

interface GigabitEthernet0/0

 nameif outside

 security-level 0

 ip address 192.168.2.2 255.255.255.248 

!

interface GigabitEthernet0/1

 description LAN Failover Interface

!

failover

failover lan unit standby

failover lan interface LAN_FailoverGigabitEthernet0/1

failover interface ip LAN_Failover 10.1.1.1255.255.255.0 standby 10.1.1.2（此命令和active彻底相同）

 

注意：active上可作些其余的必要配置，可是在standby上只须要配置failover和相关冗余端口外，不须要作其余任何额外的配置了，当active出了问题，standby会自动将active上的状态彻底承接过来，不要画蛇添足。

 

 

 

  欢迎来群一块儿交流：166684620