ASA failover --AA

一、A/A Failover  介绍

　　安全设备能够成对搭配成A/A的FO来提供设备级的冗余和负载分担。

　　两个设备在互为备份的同时，也能同时转发流量。

　　使用虚拟子防火墙是必须的，子防火墙被归为两个FO组。

　　一个物理防火墙只会在一个FO组中成为active。

二、A/A Failover对负载的处理

　　负载分担不相干的流量

　　　　每个物理设备都有一个这样的active子防火墙

　　　　路由指向active的子防火墙，这些子防火墙分布在两个物理设备

　　负载分担相关流量

　　　　每一个物理设备都有一个这样的active子防火墙

　　　　在邻近的路由器设备上必须分割流量到两个物理设备上的两个active子防火墙上

　　　　返回流量必须特殊处理

三、Active  context 的选举

　　当一个安全设备启动后，它开始一个FO选举过程

　　　　当在FO接口检测到一个正在协商的设备，本地FO组配置的Primary设备将变成active

　　　　若是它检测到一个设备在两个组中都是active，那它没有检测到设备，它在两个FO组将变成active

　　若是两个墙中有一个不健康，那么健康的子墙在一个FO组里将成为active。

四、Failover切换事件

　　FO出如今设备或子防火墙级别上

　　当一个物理防火墙的一个组内的actvie成员出现故障，另外一个物理防火墙的standby成员将变成active

　　安全设备单元优先级不会改变

　　切换发生后，IP和MAC地址在组成员之间被切换

五、Failover的链路类型

　　FO链路

　　状态化链路

　　两个Failover链路在系统执行空间里配置

六、A/A的Failover部署方针

　　部署方针和A/S高可用性FO基本同样

　　要求和限制通A/S高可用性FO同样，下面罗列了额外的问题：

　　　　A/A的FO只有设备是多模模式才可以使用，透明墙的限制

　　　　　　DHCP reley

　　　　　　Dynamic routing protocols

　　　　　　Dynamic DNS

　　　　　　Multicast IP routing

　　　　　　Quality of Service

　　ASA505不支持A/A的Failover