Búsca en Seguridad y Firewall


Configurar Alta disponibilidad en Firewall Cisco ASA (Active/Standby) FailOver

Diego Cortes Robles miércoles, diciembre 30, 2015Compartir:
Hola,

 Para poder configurar la alta disponibilidad de firewall Cisco ASA, se debe de tener dos dispositivos completamente idénticos, considerando el modelo de la caja como el sistema operativo del mismo.

Existen dos tipos de Alta disponibilidad, esta el Activo/Activo y el Activo/standby, el primero se hace factible cuando hablamos de configurar contextos en los firewall. Cuando no poseemos contextos en los firewall solo tenemos la opción de poder configurar la opción Activo/StandBy.

La ventaja de configurar alta disponibilidad en los firewall a diferencia de los routers, es que acá se replican las configuraciones entre dispositivos, permitiendo así, que si tenemos perdida de uno de nuestros dispositivos el secundario tiene todas las configuraciones que poseía el firewall primario. Por lo tanto cuando se arma el cluster de firewall no se debe copiar y pegar las configuraciones del firewall primario al secundario, si no se deben de ejecutar algunos comandos en el firewall secundario que traerá por las interfaces de Failover la configuración hacia el firewall secundario.
Como nota, las interfaces de Failover, la recomendación es dejar estas interfaces como aparecen  en la imagen, que sean dedicadas para esta función, pero tambien pueden estar encapsuladas por 802.1q y funciona igual.-

Cuando trabajamos con el modo Activo/Standby, tenemos la opción de poder tener en alta disponibilidad VPN y conexiones, por lo tanto cuando ocurre una conmutación de los equipos, el servicio no se ve afectado.

Esta entrada hará referencia solo a la configuración del modo Active/Standby.-





Configuración Failover Activo

failover
failover lan unit primary
failover lan interface FAILOVER GigabitEthernet0/4
failover key *****
failover replication http
failover link State_link GigabitEthernet0/5
failover interface ip FAILOVER 1.1.1.1 255.255.255.252 standby 1.1.1.2
failover interface ip State_link 1.1.1.5 255.255.255.252 standby 1.1.1.6



#################################################################################

Configuración Failover Standby


failover
failover lan unit secondary
failover lan interface FAILOVER GigabitEthernet0/4
failover key *****
failover replication http
failover link State_link GigabitEthernet0/5
failover interface ip FAILOVER 1.1.1.1 255.255.255.252 standby 1.1.1.2
failover interface ip State_link 1.1.1.5 255.255.255.252 standby 1.1.1.6



Explicación de los comandos.-

Failover                                                          (habilita la opción de Failover)
failover lan unit primary     ( indica que unidad es la primaria )
failover lan interface FAILOVER GigabitEthernet0/4 ( FailOver Interface, debe estar no shutdown)
failover key *****          ( Clave Compartida entre los Equipos)
failover replication http
failover link State_link GigabitEthernet0/5 ( Esta interfaz debe de estar "no shutdown" )
failover interface ip FAILOVER 1.1.1.1 255.255.255.252 standby 1.1.1.2  (IP de las interfaces del link Failover interface)
failover interface ip State_link 1.1.1.5 255.255.255.252 standby 1.1.1.6 (IP de las interfaces del link Link estate interface)




Tags

Atención!: Hemos usado imagenes que nosotros hemos encontramos como libres, si detectas que alguna imagen te pertenece o consideras que estamos violando algún derecho de Autor avisanos inmediatamente al correo o por Inbox de Facebook y retiraremos la imagen inmediatamente. Solo adjuntanos el link. De ante mano muchas gracias!

Ayudanos a crecer!