ASA failover配置(A/S)

环境描述

　　1. 两条公网出口，分别为移动，联通

　　2. 两台ASA做主备配置，实现出口故障转移

　　3. 内网两台核心做堆叠配置(由于模拟器无法实现堆叠，此处使用HSRP)

需求描述

　　1. 当一条公网链路故障后，上网流量切换到备用线路

　　2. 当一台ASA故障后，流量切换到备用ASA

　　3. 当一台核心故障后，实现内网用户流量冗余

拓扑简介

　　1. vios9模拟移动链路，vios10模拟联通链路

　　2. switch13模拟公网主机

　　3. 出口两台switch作为互联网接入交换机

　　4. ASA作为出口设备，代理内网用户上网

　　5. 内网两台核心做HSRP配置

　　6. switch12 模拟内网主机

　　

配置详情

　　1. vios9

　　interface GigabitEthernet0/0
　　ip address 10.10.10.1 255.255.255.0

　　interface GigabitEthernet0/1
　　ip address 10.10.200.2 255.255.255.0

　　ip route 30.30.30.0 255.255.255.0 10.10.200.1 //通往公网主机路由

　　2. vios10

　　interface GigabitEthernet0/0

　　ip address 20.20.20.1 255.255.255.0

　　interface GigabitEthernet0/1
　　ip address 10.10.100.2 255.255.255.0

　　ip route 30.30.30.0 255.255.255.0 10.10.100.1 //通往公网主机路由

　　3. 互联网接入交换机配置

　　左边交换机

　　

 　　右边交换机

　　

 　　4. ASA配置

　　左边防火墙

　　failover  //启用failover功能

　　failover lan unit primary //配置ASA角色为主

　　failover lan interface failover_lan GigabitEthernet0/1

　　failover key cisco1234 //配置通讯秘钥

　　failover link failover_link GigabitEthernet0/2

　　failover interface ip failover_lan 1.1.1.5 255.255.255.252 standby 1.1.1.6 
　　failover interface ip failover_link 1.1.1.9 255.255.255.252 standby 1.1.1.10

　　右边防火墙　

　　failover 

　　failover lan unit primary

　　failover lan interface failover_lan GigabitEthernet0/1

　　failover key cisco1234

　　failover link failover_link GigabitEthernet0/2

　　failover interface ip failover_lan 1.1.1.5 255.255.255.252 standby 1.1.1.6
　　failover interface ip failover_link 1.1.1.9 255.255.255.252 standby 1.1.1.10

 　　此时 ASA的主备功能配置完成，剩余的配置只要在主设备配置即可，备设备会自动同步

　　查看failover状态

　　

 　　以下为防火墙接口配置，nat配置，路由配置 acl配置

　　　

　　新建内网网段对象，并配置NAT

　　object network obj-inside1
　　subnet 192.168.10.0 255.255.255.0
　　object network obj-inside2
　　subnet 192.168.10.0 255.255.255.0

　　===============　

　　object network obj-inside1
　　nat (inside,outside1) dynamic interface
　　object network obj-inside2
　　nat (inside,outside2) dynamic interface

　　=============

　　路由配置

　　route outside1 0.0.0.0 0.0.0.0 10.10.10.1 1 track 1 //此处默认走此路由，配置track，当track链路出现问题时，自动切换默认路由
　　route outside2 0.0.0.0 0.0.0.0 20.20.20.1 254
　　route inside 192.168.10.0 255.255.255.0 1.1.1.18 1

　　=============

　　track配置　

　　sla monitor 123
　　type echo protocol ipIcmpEcho 10.10.10.1 interface outside1
　　　　num-packets 3
　　　　frequency 10
　　sla monitor schedule 123 life forever start-time now

　　track 1 rtr 123 reachability

　　==============

　　acl配置

　　access-list des_out extended permit icmp any any  //此处为了验证，放行icmp

　　access-group des_out in interface outside1 //分别在两个公网接口调用
　　access-group des_out in interface outside2 //分别在两个公网接口调用

　　5. 核心交换机配置

　　接口配置

　　左

　　

　　右

　　

 　　HSRP配置

　　

　　

 　　ip route 0.0.0.0 0.0.0.0 1.1.1.17 //默认路由

　　内网主机配置在此不再赘述

 　　

　　此时已实以上需求配置，ASA主备切换时，模拟器状态下，内网主机丢一个包

原文地址： https://runbash.com/archives/asa-failover