ASA5520的双机A-A方式配置
防火墙出口是双机的,内网也是双机的,ASA5520的双机A/A方式怎样配置
拓朴图如下,现有点不明白怎么样将防火墙的接口怎样分配IP ,两个context中的路由指向同一个IP 网关,
原来防火墙的OUTSIDE :10。180。48。253 INSIDE :10。180。49。5
如果做成两个context a.contextb 两个接口的IP 该怎样做?????
做的双机热备份
6509----------------6509
| |
| |
5520----------------5520
-------出口路由指向10.180.48.254
| |
| |
6509---------------6509
-----6509上的路由指向10.180.49.5
你是说,只有1台5520,做2个context,这两个形成A/A??
兄弟,不太清楚你具体的需求,从你的描述看,你目前的口字型连接是没什么问题的,至于两台5520的双A,无非是起两个context,一台5520是其中一个context
A的主,context B的备,另外一台5520做context A的备,context A的主. 这样,网关就需要两个,而不是一个。
事实上,如果你要做双A,就必须起multi context。
https://www.wendangku.net/doc/657249039.html,/en/US/products/ps6120/products_configuration_example09186a0080834058.shtml[/url]
可以参见这个配置
你的出口和进口在ASA看来其实都只有一个,所以你想做负载均衡的A/A模式没法做,索性你就让5520 A/S模式好了
ASA5520(config)# failover lan interface FOCtrlIntf GigabitEthernet0/2
//指定一个端口用来做failover端口,FOCtrlIntf可以任意更改
ASA5520(config)# failover interface ip FOCtrlIntf 10.10.10.1 255.255.255.252
standby 10.10.10.2 //为failover端口指定ip地址,10.10.10.1为active,10.10.10.2为standby
ASA5520(config)# failover key cisco123 //可以在failover基础上增加验证(可选项)
ASA5520(config)# failover lan unit primary //指定当前设备为主设备
ASA5520(config)# failover link statefullink GigabitEthernet0/3
//指定端口G0/3为stateful端口,当发生failover的时候,保持连接不丢失。
ASA5520(config)# failover interface ip statefullink 10.10.10.5 255.255.255.252
standby 10.10.10.6 // 配置stateful端口地址和standby端口地址,分别为10.10.10.5、10.10.10.6
ASA5520(config)# failover group 1 //创建一个failover组
ASA5520(config-fover-group)# preempt 10 //配置抢先前等待10秒钟
ASA5520(config-fover-group)# failover group 2 //创建第二个failover组
ASA5520(config-fover-group)# secondary
//指定在第二个failover组中,当前设备为scondary(组1没有设置这个参数,默认为primary)
ASA5520(config-fover-group)# preempt //配置抢占参数
ASA5520(config-fover-group)# replication http
//允许处于active设备发送http状态和连接条目的更新给standby
ASA5520(config)# context test1 //创
建两个context,名字分别为test1,test2
ASA5520(config-ctx)# allocate-interface GigabitEthernet0/0.1 //分配端口给每一个context
ASA5520(config-ctx)# allocate-interface GigabitEthernet0/1.1
ASA5520(config-ctx)# config-url flash:/test1.cfg //指定配置文件存放位置
ASA5520(config-ctx)# join-failover-group 1 //加入到failover组1
ASA5520(config-ctx)# context test2 //同上。。。
ASA5520(config-ctx)# allocate-interface GigabitEthernet0/0.2 //同上。。。
ASA5520(config-ctx)# allocate-interface GigabitEthernet0/1.2 //同上。。。
ASA5520(config-ctx)# config-url flash:/test2.cfg //同上。。。
ASA5520(config-ctx)# join-failover-group 2 //加入到failover组2
ASA5520(config)# change context test1
//切换到test1下面,分别为内为接口指定ip地址及standby地址
ASA5520/test1(config)# interface GigabitEthernet0/0.1
ASA5520/test1(config-if)# ip address 209.165.200.225 255.255.255.224 Standby
209.165.200.226
ASA5520/test1(config-if)# asr-group 1
//确保返回的数据流到达的是A/A模式中那台active设备(可选项,即便不配置,流量照样也可以导向到active,但是不能确保每次都命中)
ASA5520/test1(config-if)# interface GigabitEthernet0/1.1
ASA5520/test1(config-if)# ip address 192.168.10.1 255.255.255.0 standby
192.168.10.2
ASA5520(config)# failover //全局模式下面开始failover
---------------------------------------------------------------------------------------------------------------------------------------------------------------------------在第二台ASA5520设备上配置
failover lan unit secondary
failover lan interface FOCtrlIntf GigabitEthernet0/2
failover key cisco123
failover interface ip FOCtrlIntf 10.10.10.1 255.255.255.252 standby 10.10.10.2
failover
剩下的ASA会自动同步它的配置
两个5520实现双A,非常好的方案啊,而且这个配置绝对可行,前几天刚刚做过实验了,我觉得八楼的兄弟把中文解释都写出来了,
值得借鉴啊,等有空的时候,我也把做双A的完整配置写出来的
用透明模式完成比较好
在65上起两个VLAN
能給一份完整的配置嗎。特別是兩臺FIREWALL都在透明模式下的,如何做A/A,謝謝!!
只是搞不懂為什么我的在建FAILOVER GROUP是為什么無法建立呢?
- CISCO+ASA+5520配置手册
- CiscoASA防火墙详细图文配置实例
- CISCO ASA5520的基本配置
- ASA防火墙疑难杂症与Cisco ASA 防火墙配置
- asa防火墙命令详解
- ASA5520配置DHCP示例
- Cisco ASA 5505 防火墙常用配置案例
- ASA5520 端口映射配置
- ASA5520常用的经典配置
- Cisco_ASA5520防火墙配置
- CISCO ASA5520配置手册
- ASA5520的双机A-A方式配置
- ASA配置手册
- ASA型号及配置命令
- ASA防火墙基本配置
- asa5520防火墙透明模式的配置例子
- ciscoASA防火墙配置 - 基本配置过程
- Cisco ASA 5520 防火墙用于内部多个vlan之间互相通讯
- CISCO+ASA+5520配置手册
- ASA防火墙基本配置