ASA配置failover实例

案列:

某公司使用一台ASA5520作为内外网安全设备及互联网出口，现网还有一台

ASA5520也放置于出口，但两台设备没有形成HA，并没有配置failover。出于

提升网络安全性和冗余的考虑，现对设备进行failover配置。

整个配置过程内容如下：前提条件

要实现failover，两台设备需要满足以下的一些条件：

1?相同的设备型号和硬件配置：设备模块、接口类型，接口数量，CPU，内存，flash闪存等

2. 相同的软件版本号，此处即指ASA的IOS版本，IOS版本需要高于7.0

3. 相同的FW模式，必须同为路由模式或者透明模式

4. 相同的特性集，如支持的加密同为DES或者3DES

5. 合适的licensing,两台设备的license符合基本要求，能支持相同的failover

除了以上的几点之外，两台ASA实现失效转移failover还需要按照情况制作对应的failover/stateful心跳线，可以是交叉网线。

经过比对两台ASA5520的以上相关信息，发现目前两台ASA防火墙的IOS 版本不一致，ASA-A 是“ asa804-3-k8.bin, Software Version 8.0(4)3', ASA-B 是

“asa821-k8.bin, Software Version 8.2(1)”。通过比对还发现，两台ASA 支持的License features?并不一致，但事实上，实现failover 不需要license features 完全一致，只要关键的几个特性如支持failover类型相同即可。所以，此两台设

备如果要实现failover，则必须首先要做的就是使用ASA-B的升级ASA-A的IOS 至8.2(1)，或者将ASA-B的IOS降低至8.0 (4) 3版本，不推荐使用降级IOS 的方式，所以下面的小节将给出实现failover前升级ASA-A的IOS具体操作过

程(命令脚本)。

升级I0S方案

此以升级ASA-A的IOS到8.2(1)版本来说明。降级OS的操作步骤类似。说明：因为两台ASA5520的硬件配置一样，所以8.2(1)版本的IOS是可以支持所有ASA-A的功能及软硬件配置的。所以，升级方案是完全兼容现有硬件的。

首先，将需要把ASA-B的IOS镜像文件以及ASDM镜像文件拷出来。

1. asa-b(c on fig)#dir

//显示文件目录

2. #copy disk0:/asa821-k8.bin tftp:

拷贝ASA-B的IOS镜像到TFTP服务器

3. #copy disk0:/asdm-621.bin tftp:

拷贝ASA-B的ASDh镜像至U TFTP服务器

接下来的就是升级过程了

1. asa(c on fig)# dir

//显示文件目录

2. copy disk0:/asa804-3-k8.bin tftp:

//将原有IOS文件备份到TFTP服务器上

3. copy disk0:/asdm-615.bin tftp:

//将原有asdm文件备份到TFTP服务器上

4. copy tftp: disk0:

//将新的IOS文件从TFTP服务器上拷贝到ASA中，需要指定TFTP上的镜像文

件名asa821-k8.bin

5. copy tftp: disk0:

//将新的ASDM镜像文件从TFTP服务器上拷贝到ASA中,指定ASDM镜像名asdm -621.b in

6. asa(c on fig)# dir

//再次显示目录，检查文件是否拷贝成功

7. asa(c on fig)# no boot system disk0:/asa804-3-k8.bi

n

//取消原来的启动文件关联

8. asa(c on fig)# dir

asa(c on fig)# boot system disk0:/asa821-k8.b in

asa(c on fig)# asdm image disk0:/asdm-621.bi

n

//设置IOS文件及ASDM文件的关联

Device Manager image set, but not a valid image file disk0:/asdm-603.

bin

//由于新的IOS文件在重新启动前并未生效，所以会提示新的ASDM镜像在设置关联的时候会提示无效。

asa(c on fig)# exit

9. asa# wr

//保存配置

10. asa# reloa

d

重启ASA-A使设置生效

至此，IOS升级完毕，通过show tech查看ASA-A的信息是否与ASA-B 致，如果没有问题，就可以进行正式的failover配置工作了。

为ASA 配置failover

升级完毕IOS后，接下来的就是进行failover的配置设置了。

考虑到现网的情况，作为业务和互联网出口的主要安全设备是ASA-A，并

且该设备目前的负荷不高，完全可以满足现网需求，因此，本方案采用

active/standby的failover方式，并且，由于理论以及实际环境的限制，本方案采用LAN-based failover 模式。

首先，做配置前需要做以下测试(这几项测试非必要，可以不进行)。

1. 测试各个以太口和serial-cable口的连通性

2. 测试网络activity

3. 测试arp，读取设备的arp cache中最新学习到的10个条目

4. 测试广播ping，女口ping同一个内网的广播地址，如10.1.1.255/24 然后，

两台ASA5520断电，断电时使用普通交叉网线连接两台ASA5520设

备的以太网口，然后开启active( primary)设备。

注意：作为secondary的ASA-B此时不能加电。同时，若确定ASA-B不用承载任何业务和安全检测功能，可以考虑事先将其配置备份( ASA-B#copy run tftp:)，然后再清空ASA-B的配置后执行failover配置。

接下来是配置primary( active)设备ASA-A，ASA-A的其他设置可以不用修改。

1. ASA-A(co nfig)# in terface GigabitEthernet0/3

ASA-A(co nfig-if)# no shut

2. ASA-A(co nfig)# failover Ian in terface LANFAIL GigabitEthernet0/3

3. ASA-A(co nfig)# failover in terface ip LANFAIL 172.17.1.1 255.255.255.0

sta ndby 172.17.1.7

〃根据实际情况设置IP信息

4. ASA-A(co nfig)# failover Ian unit primary

〃设置设备ASA-A为primary

5. ASA-A(co nfig)# failover key 1234567

〃配置failover的共享密钥

6. ASA-A(co nfig)# failover

〃en able failover

7. ASA-A(co nfig)# failover link LANFAIL

〃配置全状态stateful下failover

8. ASA-A#wr

〃保存配置到flash

再接下来，加电启动ASA-B，配置secondary的ASA-B为standby。

9. ASA-B(co nfig)# in terface GigabitEthernetO/3 ASA-B(co nfig-if)# no shut

10. ASA-B(co nfig)# failover Ian in terface LANFAIL GigabitEthernet0/3

11. ASA-B(co nfig)# failover in terface ip LANFAIL 172.17.1.1 255.255.255.0

sta ndby 172.17.1.7

〃根据实际情况设置IP信息，primary和secondary—样

12. ASA-B(c on fig)# failover Ian unit sec on dary

〃设置设备ASA-B为secondary

13. ASA-B(config)# failover key 1234567

〃配置failover的共享密钥

14. ASA-B(config)# failover

〃en able failover

15. ASA-B#wr

〃保存配置到flash

由于实际环境中，接口物理MAC地址不能保证100%可用，所以High Available 的配置通常还要加配虚拟MAC地址。

16. ASA-A(c on fig)# failover mac address GigabitEther net0/0 xxxx.xxxx.xxxx

xxxx.xxxx.xxxx

ASA-A(c on fig)# failover mac address GigabitEther net0/1 xxxx.xxxx.xxxx xxxx.xxxx.xxxx

最后，配置完毕后，ASA-A向ASA-B复制配置，这个过程通常需要几分钟时间。

这个过程是可监督的，可以在ASA-B上使用如下方式查看。

ASA-B# show failover

Failover On

Failover unit Secon dary

Failover LAN In terface: LANFAIL GigabitEthernetO/3 (up)

Unit Poll freque ncy 500 millisec on ds, holdtime 6 sec onds

In terface Poll freque ncy 600 millisec on ds, holdtime 15 sec onds In terface Policy 1

Mon itored In terfaces 3 of 250 maximum

Versio n: Ours 7.2(1), Mate 7.2(1)

Output ommit .....

有以上的输出，表明配置就同步了。

至此，整个的failover就算完成了。

Oracle数据库连接的failover配置

Failover的连接配置 刘伟 以下内容参考了官方文档。这里的failover，是指应用发起一个数据库连接以后，如果工作过程中该连接所连到的实例发生了故障，连接可以自动切换到正常节点，从而最小化对业务的影响。 根据Oracle的介绍，我们有两种连接方式可以实现数据库连接的failover: TAF和FCF 1. TAF TAF的全称是Transparent Application Failover，即透明应用故障切换。 按照官方文档的描述，TAF让Oracle Net将一个失效的连接从故障点转移到另一个监听上，用户能使用这个新的连接来继续未完成的工作。 TAF可以配置为使用client端的(Transparent Network Substrate)TNS连接字符串来连接，或者使用server端的服务。如果两种方式同时使用，则使用server端的服务配置。 TAF可以工作在两种模式下：session failover和select failover。前者在failover时会重建失败的连接，后者则能够继续进程中未完成的查询(如果failover前一个session正在从一个游标中获取数据，则新的session将在相同的snapshot下重新运行select语句，并返回余下的行)。如果failover时，session执行了DML操作且未提交，则failover后，若不执行rollback 回滚而执行新的操作，将会收到一条错误信息ORA-25402: transaction must roll back TAF在dataguard中使用，可以自动进行failover 一个典型的使用了TAF的TNS连接串如下： NEWSDB = (DESCRIPTION = (ADDRESS = (PROTOCOL = TCP)(HOST = rac1-vip)(PORT = 1521)) (ADDRESS = (PROTOCOL = TCP)(HOST = rac2-vip)(PORT = 1521)) (LOAD_BALANCE = yes) (CONNECT_DATA = (SERVER = DEDICATED) (SERVICE_NAME = dyora) (FAILOVER_MODE = (TYPE = SELECT) (METHOD = BASIC) (RETRIES = 180) (DELAY = 5) ) ) )

Cisco ASA5505防火墙详细配置教程及实际配置案例

Cisco ASA5505防火墙详细配置教程及实际配置案例 interface Vlan2 nameif outside ----------------------------------------对端口命名外端口security-level 0 ----------------------------------------设置端口等级 ip address X.X.X.X 255.255.255.224 --------------------调试外网地址! interface Vlan3 nameif inside ----------------------------------------对端口命名内端口 security-level 100 ----------------------------------------调试外网地址ip address 192.168.1.1 255.255.255.0 --------------------设置端口等级! interface Ethernet0/0 switchport access vlan 2 ----------------------------------------设置端口VLAN与VLAN2绑定 ! interface Ethernet0/1 switchport access vlan 3 ----------------------------------------设置端口VLAN与VLAN3绑定 ! interface Ethernet0/2 shutdown ! interface Ethernet0/3 shutdown ! interface Ethernet0/4 shutdown ! interface Ethernet0/5 shutdown ! interface Ethernet0/6 shutdown ! interface Ethernet0/7 shutdown ! passwd 2KFQnbNIdI.2KYOU encrypted ftp mode passive dns domain-lookup inside dns server-group DefaultDNS

ASA双主Failover配置操作

ASA Active/Acitve FO 注：以下理论部分摘自百度文库： ASA状态化的FO配置，要在物理设备起用多模式，必须创建子防火墙。在每个物理设备上配置两个Failover组（failover group），且最多配置两个。 Failover特性是Cisco安全产品高可用性的一个解决方案，目的是为了提供不间断的服务，当主设备down掉的时候，备用设备能够马上接管主设备的工作，进而保持通信的连通性；Failover配置要求两个进行Failover的设备通过专用的failover线缆和可选的Stateful Failover线缆互相连接；活动设备的接口被monitor，用于发现是否要进行Failover切换Failover分为failover和Stateful Failover，即故障切换和带状态的故障切换。 不带状态的failover在进行切换的时候，所有活动的连接信息都会丢失，所有Client都需要重新建立连接信息，那么这会导致流量的间断。 带状态的failover，主设备将配置信息拷贝给备用设备的同时，也会把自己的连接状态信息拷贝给备用设备，那么当主的设备down的时候，由于备用设备上保存有连接信息，因此Client不需要重新建立连接，那么也就不会导致流量的中断。 Failover link 两个failover设备频繁的在failover link上进行通信，进而检测对等体的状态。以下信息是通过failover link通信的信息： ●设备状态（active or standby）； ●电源状态（只用于基于线缆的failover；） ●Hello messages （keep-alives）； ●Network link 状态； ●MAC地址交换； ●配置的复制和同步； （Note ：所有通过failover 和stateful failover线缆的信息都是以明文传送的，除非你使用failover key来对信息进行加密；） Stateful link 在stateful link上，拷贝给备用设备的连接状态信息有： ●NAT 转换表； ●TCP连接状态； ●UDP连接状态； ●ARP表 ●2层转发表（运行在透明模式的时候） ●HTTP连接状态信息（如果启用了HTTP复制） ●ISAKMP和IPSec SA表 ●GTP PDP连接数据库 以下信息不会拷贝给备用设备： ●HTTP连接状态信息（除非启用了HTTP复制） ●用户认证表（uauth） ●路由表

DHCP FAILOVER 细节

DHCP Failover的实现细节 RFC 2131的工作机制 RFC 2131定义了三种类型的服务器到服务器的信号：服务器租用同步信号、操作状态信号（问候包）及“我回来了”信号（主服务器从死机状态恢复）。 冗余DHCP服务器遵循RFC 2131 DHCP故障恢复草案通过服务器租用同步信号彼此交流租用信息。当两台服务器工作正常时，主、次服务器间会有连续的信息流。用来交流租用信息的信号有三种： 添加信号，当主服务器分发出一个新租约时，主服务器发送到次服务器的信号；刷新信号，当租约有变化时（如更新/扩充），每台服务器发送的信号； 删除信号，当租约期满，地址又成为可用的了，服务器发送的信号。 在所有情况下，接收方服务器以肯定或否定的认可信号来响应。这些信号只有在请求DHCP客户处理完毕后才发送给另一台服务器。 除了维护当前的租用信息数据库外，次服务器还必须留意主服务器，以便得知何时取代租用的分发。这一功能由监视两台服务器的TCP连接来实现。次服务器使用三个标准以确定它和主服务器的连接是否满意： 1.必须能建立TCP连接； 2.必须接收到主服务器发送的连接信号，并以连接认可响应； 3.必须接收到主服务器发出的状态信号，用它来确定自己的操作状态。 failover协议允许两台DHCP服务器（不能多于2台）共享一个公共的地址池。在任何时刻，每台服务器都拥有地址池中一半的可用地址用来分配给客户端。如果其中一台服务器失效，另一台服务器在与失效的服务器通讯之前会继续从池中renew地址，并且会从它拥有的那一半可用地址中分发新地址给客户端。 如果一台服务器启动时没有预先通知它的failover伙伴, 那么在它对外提供服务以前必须与failover伙伴建立通讯，并且进行同步。这个过程当你首次

CiscoASAFailover防火墙冗余

Failover Failover是思科防火墙一种高可用技术，能在防火墙发生故障时数秒内转移配置到另一台设备，使网络保持畅通，达到设备级冗余的目的。 原理 前提需要两台设备型号一样（型号、内存、接口等），通过一条链路连接到对端（这个连接也叫）。该技术用到的两台设备分为Active设备（Primary）和Stanby设备（Secondary）,这种冗余也可以叫AS模式。活跃机器处于在线工作状态，备用处于实时监控活跃设备是否正常。当主用设备发生故障后（接口down，设备断电），备用设备可及时替换，替换为Avtive的角色。Failover启用后，Primary 设备会同步配置文件文件到Secondary设备，这个时候也不能在Scondary添加配置，配置必须在Active进行。远程管理Failover设备时，登录的始终是active设备这一点一定要注意，可以通过命令（show failover）查看当时所登录的物理机器。目前启用failover技术不是所有状态化信息都可以同步，比如NAT转换需要再次建立。 配置Active设备： interface Ethernet0 nameif outside security-level 0 ip address standby //standby为备份设备地址

interface Ethernet1 nameif inside security-level 100 ip address standby ASA1(config)# failover lan unit primary //指定设备的角色主 ASA1(config)# failover lan interface failover Ethernet2 //Failover接口名，可自定义 ASA1(config)# failover link Fover Ethernet2//状态信息同步接口ASA1(config)# failover interface ip failover stan //配置Failover IP地址,该网段可使用私网地址 ASA1(config)# failover lan key xxxx //配置Failover 认证对端 ASA1(config)# failover //启用Failover；注意，此命令一定要先在Active上输入，否则会引起配置拷错； 将一个接口指定为failover 接口后，再show inter 的时候，该接口就显示为：interface Ethernet3 description LAN Failover Interface //确保接口up 配置standby设备： ASA2(config)# inte Ethernet3 ASA2(configif)# no shutdown ASA2(configif)# exit

生产数据库FailOver配置方法

配置方法（客户端方式 方式） 生产数据库 FailOver 配置方法（客户端方式）
生产数据库采用的是双实例的 Oracle RAC 数据库，在其中任一实例出现计划内或非 计划 shutdown 的时候，另一个实例可以接管失败实例的全部或部分业务（与主机资源相 关）。
生产应用实现 FailOver 的配置方法如下：
一、去掉生产数据库服务端负载均衡配置 去掉生产数据库服务端负载均衡配置 生产数据库
生产数据库在安装 Oracle RAC 环境的时候，服务端配置了负载均衡，用于将客户端 连接均衡负载到 RAC 的两个实例， 国庆调整后， Tuxedo 和 WebLogic 中间件均采用了 “大 厅客户端连接实例一，WEB 应用连接实例二”的方式，因而没有使用数据库服务端负载均 衡。 本次为了使用 RAC 的 FailOver 功能，并且同一应用的多个客户端连接不被分别连接 到实例一和实例二，需要去掉数据库服务端的负载均衡配置。 停止数据库服务端负载均衡配置只需修改 remote_listener 参数 （该参数为动态参数， 可被在线修改），语法如下： 以 oracle 用户登录实例一的操作系统 $ sqlplus / as sysdba SQL> alter system set remote_listener=’’ scope=both;
二、Tuxedo 中间件侧的 FailOver 配置
1、需要修改三个 Tuxedo 中间件分区的 tnsnames.ora 文件的 TAXP 的配置信息， 调整对应 TAXP 节为如下内容：
TAXP = (DESCRIPTION = (ADDRESS = (PROTOCOL = TCP)(HOST = taxdb1_vip)(PORT = 1521)) (ADDRESS = (PROTOCOL = TCP)(HOST = taxdb2_vip)(PORT = 1521)) (LOAD_BALANCE = NO) (CONNECT_DATA = (SERVER = DEDICATED) (SERVICE_NAME = taxp) (FAILOVER_MODE =

HA 配置的一个实例

HA配置的一个实例 作者：Jian Lee 邮件：aybhlj@https://www.wendangku.net/doc/a015797645.html, 主页：https://www.wendangku.net/doc/a015797645.html, 集群环境:(通过eth1接口,用以太网双机直连网线做为心跳线) webdb1: eth0: 10.10.8.31 eth1: 192.168.10.10 webdb2: eth0: 10.10.8.32 eth1: 192.168.10.11 APC电源设备: apc1: 10.10.8.45 apc2: 10.10.8.46 user:apc passwd:apc 机器型号： hp580 8CPU 系统： Red Hat Enterprise Linux AS release 4 (Nahant Update 4) Linux webdb2 2.6.9-42.ELsmp #1 SMP Wed Jul 12 23:27:17 EDT 2006 i686 i686 i386 GNU/Linux 局域网环境： 已经有一个HA，名字默认都叫“alpha_cluster”

步骤 1、运行system-config-cluster 第一次运行，由于还没有/etc/cluster/cluster.conf这个文件，所有会出现下面这个提示框，点击”Create New Configuration”,创建一个新的/etc/cluster/cluster.conf文件。如果删除/etc/cluster/cluster.conf文件，再次运行system-config-cluster还会出现这个提示框。 2、做完上面步骤，就会出现下面对话框。这里选择“DLM”，由于我们使用双机直连网线，所已不必使用”Use Multicast”。

ASA FAILOVER实验配置

ASA Version 8.0(2) ! hostname ASA1 enable password 8Ry2YjIyt7RRXU24 encrypted names ! interface Ethernet0/0 description LAN Failover Interface ! interface Ethernet0/1 description STATE Failover Interface ! interface Ethernet0/2 nameif inside security-level 100 ip address 2.2.2.1 255.255.255.0 standby 2.2.2.10 ! interface Ethernet0/3 nameif dmz security-level 50 ip address 3.3.3.1 255.255.255.0 standby 3.3.3.10 ! interface Ethernet0/4 nameif outside security-level 0 ip address 4.4.4.1 255.255.255.0 standby 4.4.4.10 ! interface Ethernet0/5 shutdown no nameif no security-level no ip address ! passwd 2KFQnbNIdI.2KYOU encrypted ftp mode passive pager lines 24 mtu inside 1500 mtu dmz 1500 mtu outside 1500 failover failover lan unit secondary failover lan interface failover Ethernet0/0 failover link state Ethernet0/1 failover interface ip failover 10.10.10.1 255.255.255.0 standby 10.10.10.2

Cisco ASA 5505 防火墙常用配置案例

interface Vlan2 nameif outside --------------------对端口命名外端口 security-level 0 --------------------设置端口等级 ip address X.X.X.X 255.255.255.224 --------------------调试外网地址 ! interface Vlan3 nameif inside --------------------对端口命名内端口 security-level 100 --------------------调试外网地址 ip address 192.168.1.1 255.255.255.0 --------------------设置端口等级 ! interface Ethernet0/0 switchport access vlan 2 --------------------设置端口VLAN与VLAN2绑定 ! interface Ethernet0/1 switchport access vlan 3 --------------------设置端口VLAN与VLAN3绑定 ! interface Ethernet0/2 shutdown ! interface Ethernet0/3 shutdown ! interface Ethernet0/4 shutdown ! interface Ethernet0/5 shutdown ! interface Ethernet0/6 shutdown ! interface Ethernet0/7 shutdown ! passwd 2KFQnbNIdI.2KYOU encrypted ftp mode passive dns domain-lookup inside dns server-group DefaultDNS name-server 211.99.129.210 name-server 202.106.196.115 access-list 102 extended permit icmp any any ------------------设置ACL列表（允许ICMP全部通过） access-list 102 extended permit ip any any ------------------设置ACL列表（允许所有IP全部通过）

windows 2008R2+故障转移集群+oracle11g配置指导说明

windows 2008+Oracle 11g R2 故障转移群集配置 一. 故障转移群集环境介绍： 1.1 逻辑拓扑图 1.2 服务器A OS：win 2008 entprise sp1 ServerName：node1 Pubic_IP：192.168.200.1/24 DNS：192.168.200.1 Heartbeat_IP：10.10.10.10/24 1.2 服务器B OS：win 2008 entprise sp1 ServerName：node2 Public_IP：192.168.200.2/24 DNS：192.168.200.1 Heartbeat_IP：10.10.10.20/24 1.3 群集cluster DomainName：https://www.wendangku.net/doc/a015797645.html, ClusterName：cluster Cluster_IP：192.168.200.3/24 1.4 服务器C（通过starwind软件虚拟仲裁和共享盘） IP：192.168.200.200/24 仲裁盘Q：Quorum/1GB 共享盘R：Sharedisk/12GB

2.2 分别在本地host文件添加各自的记录（C： \windows\system32\drivers\etc\hosts） A：192.168.200.2 node2 192.168.200.3 cluster 192.168.200.200 BackupServer B：192.168.200.1 node1 192.168.200.3 cluster 192.168.200.200 BackupServer 2.3 A和B防火墙设置：把两片网卡勾去掉，不然彼此不能正常通信

ASA Active Standby Failover实验

ASA Active/Standby Failover实验 配置前要注意的：在防火墙版本7.x以后引入了Multi Context的概念，可以让不同的Context 互为主备，并且增强了Failover的新特性，支持一种称为Active/Active的模式。这些功能增加了防火墙的使用效率和性能（主备模式实际工作的只有1台设备），此模式目前只被PIX 和ASA平台所支持。 拓扑: 配置： SW1 -------------------- ! hostname SW1 ! interface FastEthernet0/2 description ASA1-e0/0 switchport access vlan 2 ! interface FastEthernet0/0 description R1-f0/0 switchport access vlan 2 ! interface FastEthernet0/3 description ASA2-e0/0 switchport access vlan 2 ! interface FastEthernet0/4 description ASA1-e0/1

switchport access vlan 3 ! interface FastEthernet0/1 description R2-f0/0 switchport access vlan 3 ! interface FastEthernet0/5 description ASA2-e0/1 switchport access vlan 3 ! ------------------------------------------- R1 ------------------------------- ! hostname R1 ! interface Loopback0 ip address 1.1.1.1 255.255.255.255 ! interface FastEthernet0/0 ip address 192.168.1.2 255.255.255.0 ! ip route 0.0.0.0 0.0.0.0 192.168.1.1 ! ----------------------------------------- R2 ----------------------------- ! hostname R1 ! interface Loopback0 ip address 2.2.2.2 255.255.255.255 ! interface FastEthernet0/0 ip address 172.16.1.2 255.255.255.0 ! ip route 0.0.0.0 0.0.0.0 172.16.1.1 ! ---------------------------- ASA1 -----------------------------------

ASA5520双机配置案例(带状态state link的双机配置AA模式 带状态的多个state link接口)

hostname asa-1 enable password cisco ! interface GigabitEthernet0/0 nameif inside security-level 100 ip address 192.200.31.249 255.255.255.192 standby 192.200.31.248 ! interface GigabitEthernet0/1 description LAN Failover Interface（做failover link的接口不需要做地址配置） ! interface GigabitEthernet0/2 description STATE Failover Interface ! interface GigabitEthernet0/3 nameif outside security-level 100 ip address 192.200.31.4 255.255.255.224 standby 192.200.31.5 ! interface Management0/0 shutdown nameif management security-level 100 ip address 10.168.1.1 255.255.255.0 management-only ! same-security-traffic permit inter-interface ! failover failover lan unit primary failover lan interface faillink（自己起的failover名字）GigabitEthernet0/1（心跳线接口）failover polltime unit 1 holdtime 3 failover link statelink GigabitEthernet0/2 failover interface ip faillink 10.168.100.1 255.255.255.0 standby 10.168.100.2 failover interface ip statelink 10.168.101.1 255.255.255.0 standby 10.168.101.2 monitor-interface outside monitor-interface inside icmp permit any inside icmp permit any outside route inside 192.200.31.32 255.255.255.224 192.200.31.250 1 route inside 192.200.31.64 255.255.255.192 192.200.31.250 1 route inside 192.200.31.128 255.255.255.192 192.200.31.250 1 route inside 192.200.31.192 255.255.255.192 192.200.31.250 1 route outside 0.0.0.0 0.0.0.0 192.200.31.1 1

ASA配置failover实例

案列： 某公司使用一台ASA5520作为内外网安全设备及互联网出口，现网还有一台ASA5520也放置于出口，但两台设备没有形成HA，并没有配置failover。出于提升网络安全性和冗余的考虑，现对设备进行failover 配置。 整个配置过程内容如下： 前提条件 要实现failover，两台设备需要满足以下的一些条件： 1.相同的设备型号和硬件配置：设备模块、接口类型，接口数量，CPU，内存，flash闪存等 2.相同的软件版本号，此处即指ASA的IOS版本，IOS版本需要高于7.0 3.相同的FW模式，必须同为路由模式或者透明模式 4.相同的特性集，如支持的加密同为DES或者3DES 5.合适的licensing，两台设备的license符合基本要求，能支持相同的failover 除了以上的几点之外，两台ASA实现失效转移failover还需要按照情况制作对应的failover/stateful心跳线，可以是交叉网线。 经过比对两台ASA5520的以上相关信息，发现目前两台ASA防火墙的IOS版本不一致，ASA-A是 “asa804-3-k8.bin，Software Version 8.0(4)3”，ASA-B是“asa821-k8.bin，Software Version 8.2(1)”。通过比对还发现，两台ASA支持的License features虽并不一致，但事实上，实现failover不需要license features 完全一致，只要关键的几个特性如支持failover类型相同即可。所以，此两台设备如果要实现failover，则必须首先要做的就是使用ASA-B的升级ASA-A的IOS至8.2(1)，或者将ASA-B的IOS降低至8.0（4）3版本，不推荐使用降级IOS的方式，所以下面的小节将给出实现failover前升级ASA-A的IOS具体操作过程（命令脚本）。 页脚内容1

Failover的切换以及注意事项的理解

注：对于在多CONTEXT的环境中，如何实现故障切换，MAC地址如何工作的理解。希望大家能够在实验环境中反复测试验证。 1.多个Context模式下：不考虑PIX FAILOVER的情形（网络中只有一个PIX的情形）： 1.1数据的分类： 1)首先考虑数据的分类，也就是数据包如何进入ASA，数据保进入到ASA主机内部的时候又如 何进入到每个Context，此时需要考虑到数据的分类。 2)如果数据是发起的流量，根据接口、数据包的目的MAC地址和在交换机上配置的VLAN来隔 离。如果数据是返回的流量，根据接口，MAC地址，NAT的翻译后的地址来确定流入哪个 Context，具体顺序应该是接口优先、MAC地址、NAT匹配。关于如何区分，上课已经讲过。 1.2缺省情况下：每个CONTEXT的MAC地址的分配 1)当配置多CONTEXT的时候，如果同时配置了failover，每个CONTEXT的接口会自动产生一 个虚拟的MAC地址，但是如果不配置failover，那么，将会使用物理的接口地址作为mac 地址。 2)当配置单Context的时候，缺省都是使用物理接口的MAC地址。 3)一个接口或者一个子接口可以分配给多个Context，但是只能在router模式下进行，桥接 的模式下不可以。道理上课已经讲过。 1.3如何修改缺省的mac地址： 4)在单个context的模式下：手工在接口上指定，配置mac atuto，failover 命令指定。 5)在多个context的模式下：配置mac atuto，failover 命令指定。 1.4根据实际情况，当不考虑failover的时候，如果在router模式下，没有配置NAT，而且又将同 一个接口（包含子接口）分配给不同的context的时候，必须要修改mac地址。 2.多个Context模式下：考虑PIX FAILOVER的情形 2.1Faiover的切换顺序：、 1)必须在两个设备上做好Failover的基本配置，具体包括：配置两个failover的主从单元； Failover的接口；ip地址；Failover LAN启用。 2)在设备上配置主从的时候，pri和sec，只有如下的区别：（注意，是预配置的主从情况） a)两个failover 的ip地址是根据主从来确定的。这两个地址是不改变的，除非你 把failover配置在了数据的接口上。 b)第二个区别是当同时启动的时候，主优先成为active，但是这仅仅在单个的 context的情况下。 c)记住，在单context的环境中，pri的物理mac地址永远是failover的active的 mac地址，当sec的设备先启动的时候，pri后启动时，会导致mac更迭，可能引 起中断，所以需要我们配置虚拟的mac地址来打破这个规则，虚拟的mac地址中 的active 的mac地址就不改变了。 3)什么时候成为active的？ a)当两个设备同时启动，检查是否有配置了preempt，如果有配置了，那么由failover group组中指定的优先级来确定谁做active。注意，group中的优先级配置是不影 响本地的。 b)总共有3个组，0 1 2。配置完成之后，关于谁抢占谁，以在system下面配置的 主单元上面保存的配置为参考依据。 c)可以手工配置抢占，fail act group ，此时绝对优先抢占相应的组。包含0组的 抢占。 Faiover的状态如下表：

FWSM FAILOVER测试配置模版

--FWSM 结构： 该模块内部体系主要由一个双Intel 奔腾3处理器和3个IBM的NP，以及相应的ASIC芯片组成。其中NP1和NP2各有3条GE连接到C6K/C7600的交换矩阵或背板总线上，并自动创建一个6G的802.1Q的trunking Etherchannel。 --C6k+FWSM： FWSM对于C6K来说，实际上相当于一个外部的高性能PIX防火墙，通过6个GE连接到C6K上。可以在C6K上配置基于session的6个GE间流量负载均衡。要求的6500配置为

SUP2/MSFC2，Native IOS 12.1(13)E以上版本。实现64byte情况下3Mpps的最大吞吐，1518byte 情况下5G最大带宽，100个VLAN接口，128K ACL设置，LAN Failover等等。 交换机VLAN 2-4、300-301、600做FIREWALL的虚拟接口 show run Building configuration... Current configuration : 12437 bytes version 12.2 service timestamps debug uptime service timestamps log uptime no service password-encryption ! hostname bb6506-1 !

boot system flash sup-bootflash: logging snmp-authfail enable secret 5 $1$//Gz$SjNb0DKiUKWHUSruk1FZs. ! clock timezone PDT -7 firewall module 2 vlan-group 10 设置防火墙的VLAN firewall vlan-group 10 2-4,300,301,600 ip subnet-zero no ip domain-lookup mpls ldp logging neighbor-changes no mls flow ip no mls flow ipv6 mls cef error action freeze ! spanning-tree mode pvst no spanning-tree optimize bpdu transmission diagnostic cns publish https://www.wendangku.net/doc/a015797645.html,s.device.diag_results diagnostic cns subscribe https://www.wendangku.net/doc/a015797645.html,s.device.diag_commands ! redundancy mode sso main-cpu auto-sync running-config auto-sync standard ! vlan internal allocation policy ascending vlan access-log ratelimit 2000 ! interface Port-channel1 设置PORT-CHANNEL 作为FIREWALL-FAILOVER连接（最 好用4-6个GE接口做捆绑） no ip address switchport switchport trunk encapsulation dot1q switchport mode trunk ! interface GigabitEthernet6/1 no ip address switchport switchport access vlan 2 switchport mode access ! interface GigabitEthernet6/2 no ip address switchport

asa5520防火墙透明模式的配置例子

asa5520防火墙透明模式的配置例子 ciscoasa# sh run : Saved : ASA Version 7.2(3) ! firewall transparent hostname ciscoasa domain-name default.domain.invalid enable password 8Ry2YjIyt7RRXU24 encrypted names ! interface GigabitEthernet0/0 nameif outside security-level 0 ! interface GigabitEthernet0/1 nameif inside security-level 100 ! interface GigabitEthernet0/2 shutdown no nameif no security-level ! interface GigabitEthernet0/3 shutdown no nameif no security-level ! interface Management0/0 nameif management security-level 100 ip address 192.168.1.1 255.255.255.0 management-only ! passwd 2KFQnbNIdI.2KYOU encrypted ftp mode passive dns server-group DefaultDNS domain-name default.domain.invalid access-list acl_inside extended permit ip any any access-list acl_inside extended permit icmp any any

SQL Server 2008故障转移集群+数据库镜像配置实例

SQL Server 2008故障转移集群+数据库镜像配置实例 一、总体方案 故障转移集群技术与镜像技术结合，在主体数据库上实现双机集群，镜像数据库不在集群内，是一台单独的数据库服务器。 在配置镜像数据库时，选择镜像运行模式为“高性能模式会话”，此模式下：如果群集故障转移到另一节点，在镜像会话中，故障转移群集实例将继续作为主体服务器。如果整个群集出现问题，则可以将服务强制到镜像服务器上。 二、关于镜像和集群 通常，当镜像与群集一起使用时，主体服务器与镜像服务器都驻留在群集上，其中，主体服务器在一个群集的故障转移群集实例中运行，镜像服务器在另一个群集的故障转移群集实例中运行。不过，您可以建立一个镜像会话，其中，一个伙伴驻留在一个群集的故障转移群集实例中，另一个伙伴驻留在一个单独的非群集的计算机中。 参考《SQL Server 2008数据库镜像+故障转移集群》 三、系统准备 1、建立Windows Server 2008 故障转移集群 参看《配置Windows Server2008故障转移集群》 2、给各节点添加共享存储（本例使用windows Storage Server配置iSCSI存储） 参看《使用Windows Storage Server 2008给hype-v添加iSCSI盘》 3、给集群添加网络磁盘（分布式事物协调器需要一块磁盘、SQL需要一个磁 盘） A、打开故障转移集群 B、点击右侧“存储”项。选择右侧的“添加磁盘”功能 C、将节点中新添加的iSCSI存储添加到集群存储，并修改磁盘名称为SQL

4、添加分布式事务处理的集群化 A、打开故障转移集群管理器，点击配置服务或应用程序 B、选择添加“分布式事物协调器”进行添加 C、设置MSDTC名称、IP地址、存储

ASA配置failover实例

案列: 某公司使用一台ASA5520作为内外网安全设备及互联网出口，现网还有一台 ASA5520也放置于出口，但两台设备没有形成HA，并没有配置failover。出于 提升网络安全性和冗余的考虑，现对设备进行failover配置。 整个配置过程内容如下：前提条件 要实现failover，两台设备需要满足以下的一些条件： 1?相同的设备型号和硬件配置：设备模块、接口类型，接口数量，CPU，内存，flash闪存等 2. 相同的软件版本号，此处即指ASA的IOS版本，IOS版本需要高于7.0 3. 相同的FW模式，必须同为路由模式或者透明模式 4. 相同的特性集，如支持的加密同为DES或者3DES 5. 合适的licensing,两台设备的license符合基本要求，能支持相同的failover 除了以上的几点之外，两台ASA实现失效转移failover还需要按照情况制作对应的failover/stateful心跳线，可以是交叉网线。 经过比对两台ASA5520的以上相关信息，发现目前两台ASA防火墙的IOS 版本不一致，ASA-A 是“ asa804-3-k8.bin, Software Version 8.0(4)3', ASA-B 是 “asa821-k8.bin, Software Version 8.2(1)”。通过比对还发现，两台ASA 支持的License features?并不一致，但事实上，实现failover 不需要license features 完全一致，只要关键的几个特性如支持failover类型相同即可。所以，此两台设 备如果要实现failover，则必须首先要做的就是使用ASA-B的升级ASA-A的IOS 至8.2(1)，或者将ASA-B的IOS降低至8.0 (4) 3版本，不推荐使用降级IOS 的方式，所以下面的小节将给出实现failover前升级ASA-A的IOS具体操作过 程(命令脚本)。 升级I0S方案 此以升级ASA-A的IOS到8.2(1)版本来说明。降级OS的操作步骤类似。说明：因为两台ASA5520的硬件配置一样，所以8.2(1)版本的IOS是可以支持所有ASA-A的功能及软硬件配置的。所以，升级方案是完全兼容现有硬件的。 首先，将需要把ASA-B的IOS镜像文件以及ASDM镜像文件拷出来。 1. asa-b(c on fig)#dir