Cisco防火墙HA实例

实验环境：2台ASA5508防火墙，组建HA使得一台做为主防火墙Active，另一台平时做为standby做为备用防火墙。防火墙有3个端口，

        gi 1/1 端口为outside出口   gi1/2 端口为inside进口 gi 1/3 端口为两台防火墙互链接口

实验目的：使得两台防火墙互为主备，平时只有一台工做，另外一台做为热备在线。等主防火墙故障后，备防火墙直接切换为主防火墙继续提供服务。

实验网络拓扑图：

该实验操做也支持其余能够作热备的设备配置，作热备的两台设备必须是同型号同版本的，如下查看是否能够作热备的配置：

ASA5508-Active# show version

首先配置第一台防火墙，及主防火墙Active设备：

   ASA5508-Active# configure ter

   ASA5508-Active(config)#interface gi 1/1

   ASA5508-Active(config-if)#nameif outside

   ASA5508-Active(config-if)#security-level 0

   ASA5508-Active(config-if)# ip address 172.16.1.11 255.255.255.0 standby 172.16.1.12   //standby为备用防火墙设备接口1的ip地址

   ASA5508-Active(config-if)#exit

   ASA5508-Active(config)#interface gi 1/2

   ASA5508-Active(config-if)#nameif inside

   ASA5508-Active(config-if)#security-level 100

   ASA5508-Active(config-if)#ip address 192.168.91.11 255.255.255.128 standby 192.168.91.12 //standby为备用防火墙设备接口2的ip地址

   ASA5508-Active(config-if)#exit

   ASA5508-Active(config)#failover lan unit primary  //指定该设备的角色为主防火墙

   ASA5508-Active(config)#failover lan interface failover gi1/3  //指定3号接口为主备设备互联接口（若是主备设备之间有多个端口链接，都需指定），

                                              本实验主备设备之间只有一个相链接口，因此只需指定一个接口。

  ASA5508-Active(config)#failover link fover gi1/3   //指定状态信息同步接口（即主备之间的配置信息同步接口），本实验由于主备之间只有一个接口相连

                                     故本实验能够不用指定。

  ASA5508-Active(config)#failover interface ip failover 172.17.1.1 255.255.255.0 standby 172.17.1.2  //该IP地址是设置在接口3互联的端口上，能够

                                                                     随意设置成本身定义的IP

  ASA5508-Active(config)#failover lan key cisco   //配置failover认证端口的密钥，cisco能够自定义，即设置主备设备之间接口3互相通信的密钥为cisco.

  ASA5508-Active(config)#failover   //主防火墙的全部配置都设置OK后，输入该命令，即启用热备模式，注意，此命令必定要先在主设备上输入，不然若是先在

                         备用设备输入后，若是互联线链接了，会致使把备用设备的配置覆盖了主设备的配置。

  ASA5508-Active# show inter  //此时输入show inter 会显示接口3 位failover接口。

接下来配置备用设备standby设备：

  ASA5508-Standby(config)#interface gi 1/3

  ASA5508-Standby(config-if)#no shutdown

  ASA5508-Standby(config-if)#exit

  ASA5508-Standby(config)#failover lan unit secondary  //设置该设备为备用状态

  ASA5508-Standby(config)#failover lan interface failover gi1/3  //指定3号接口为主备设备互联接口（若是主备设备之间有多个端口链接，都需指定），

                                             本实验主备设备之间只有一个相链接口，因此只需指定一个接口。

  ASA5508-Standby(config)#failover link fover gi1/3   //指定状态信息同步接口（即主备之间的配置信息同步接口），本实验由于主备之间只有一个接口相连

                                       故本实验能够不用指定。

  ASA5508-Standby(config)#failover interface ip failover 172.17.1.2 255.255.255.0 standby 172.17.1.1  //该IP地址是设置在接口3互联的端口上，能够

                                                                     随意设置成本身定义的IP

   ASA5508-Active(config)#failover lan key cisco   //配置failover认证端口的密钥，cisco能够自定义，即设置主备设备之间接口3互相通信的密钥为cisco.

  ASA5508-Active(config)#failover   //即启用热备模式，注意，此命令必定要先在主设备上输入，不然若是先在备用设备输入后，若是互联线链接了，

                           会致使把备用设备的配置覆盖了主设备的配置。

  至此两台设备同步信息后，配置只能在Active主设备上进行，备用设备hostname会喝主设备相同。能够经过show failover 查看，或者使用命令：

  ASA5508-Active(config)#prompt hostname priority state  显示该设备的状态state

   ASA5508-Active/pri/act(config)#    //红色字体表示该设备为主设备的状态为activer活动状态，即当前工做的是该主设备。  

   登陆备用设备查看

   ASA5508-Standby(config)#prompt hostname priority state 显示该设备的状态state

   ASA5508-Standby/sec/stby(config)#  //红色字体表示该设备为备用设备的状态为stby备用状态，即当前工做的是该主设备

   其余配置信息：

   好比登陆到主设备上输入如下命令：

  ASA5508-Active/pri/act(config)#no failover active  //手动把主设备切换为备用状态 （默认若是主设备有问题会自动切换到备用设备工做状态）

  ASA5508-Standby/sec/stby(config)#failover active   //手动备用设备切换为active状态