1. Genel Bakış
Kritik altyapılarda, maximum fayda sağlayabilmek adına Cisco ASA güvenlik duvarları ile cluster yapısı oluştururken Active/active veya active/standby yapılandırması şiddetle tavsiye edilir.
Bu yazımızda, IOS versiyon 9.x çalıştıran iki Cisco ASA güvenlik duvarı arasında active/standby failover modunu kullanarak, high availability clustering yapısını nasıl yapılandıracağınız anlatılacaktır.
2. Başlarken
a. Eşit sayıda ve türde arabirimleri olan ve aynı miktarda RAM’i bulunan aynı model iki Cisco ASA güvenlik duvarı cihazına sahip olmanız gereklidir.
b. Bu iki Cisco ASA güvenlik duvarına doğrudan konsol erişimi sağlamanız gereklidir.
3. Ağ Şeması
Aşağıdaki şemada belirtilen active/standby clustering yapısını Cisco ASA cihazlarına yapılandıracağız. Birincil ünitenin arızalanması durumunda, ikincil ünite herhangi bir kesinti olmadan otomatik olarak aktif hale gelecektir.
IP yapılandırması da aşağıdaki gibi olacaktır.
Primary Unit | Secondary Unit | |
Port | Gi0/2 | Gi0/2 |
Interface Name | outside | outside |
P2P Public IP | 117.111.111.1/29 | 117.111.111.2/29 |
Port | Gi0/1 | Gi0/1 |
Interface Name | inside | inside |
P2P Private IP | 10.0.0.1/24 | 10.0.0.2/24 |
Failover Port | Gi0/0 | Gi0/0 |
Failover IP | 172.16.0.1/30 | 172.16.0.2/30 |
4. Birincil Birimi Yapılandırın
Öncelikle, LAN yerine çalışma için kullanılacak Gi0 / 0 arabirimini açmamız ve bu güvenlik duvarını bu yük devretme kümesi için birincil birim yapmamız gerekir.
# config t # int g0/0 no sh # failover lan unit primary
Daha sonra, failover arayüzünü atamamız ve onu “FAIL-LAN” olarak adlandırmamız ve failover IP adresi olarak vermemiz gerekiyor. Gi0/0 arayüzü , birincil ünite ile ikincil ünite arasındaki yapılandırmayı kopyalamak için kullanılacaktır.
# failover lan int FAIL-LAN g0/0 # failover link FAIL-LAN # failover int ip FAIL-LAN 172.16.0.1 255.255.255.252 standby 172.16.0.2
Şimdi, dış arabirim için IP adresini yapılandırmamız gerekiyor. Ayrıca, ikincil ünite tarafından kullanılacak olan standby IP adresini de ayarlamamız gerekir.
# int g0/2 nameif outside ip address 117.111.111.1 255.255.255.248 standby 117.111.111.2 no sh
Daha sonra, iç arayüz için IP adresini yapılandırmamız gerekir. Ayrıca ikincil ünite tarafından kullanılacak standby IP adresini de ayarlamamız gerekir.
# int g0/1 nameif inside ip address 10.0.0.1 255.255.255.0 standby 10.0.0.2 no sh
Son olarak failover’ı aktif etmek için aşağıdaki komutu çalıştırın.
># failover
5. İkincil Birimi Yapılandırın
İkincil birimde, Gi0/0 ara yüzünü aktif ederek failover cluster yapısının ikincil birimi olduğunu belirmemiz gerekir.
# int g0/0 no sh # failover lan unit secondary
Sonrasında, aşağıdaki bir kaç komutu girerek yapılandırmanın geri kalanı birincil birimden replicated etmesi sağlanır.
# failover lan int FAIL-LAN g0/0 # failover link FAIL-LAN # failover int ip FAIL-LAN 172.16.0.1 255.255.255.252 standby 172.16.0.2 # failover
Komutları çalıştırdıktan sonra ekranınızda muhtemelen aşağıdaki gibi bir görüntü gelecektir.
Detected an Active mate Beginning configuration replication from mate. Creating trustpoint "_SmartCallHome_ServerCA" and installing certificate... Trustpoint '_SmartCallHome_ServerCA' is a subordinate CA and holds a non self-signed certificate. Trustpoint CA certificate accepted. WARNING: Trustpoint _SmartCallHome_ServerCA is already authenticated. End configuration replication from mate.
6. Yapılandırmayı Doğrulayın
Cisco ASA güvenlik duvarında failover cluster yapılandırmasının doğrulanması için birincil birimde çalıştıracağınız komut aşağıdaki gibidir.
# sh failover Failover On Failover unit Primary Failover LAN Interface: FAIL-LAN GigabitEthernet0/0 (up) Reconnect timeout 0:00:00 Unit Poll frequency 1 seconds, holdtime 15 seconds Interface Poll frequency 5 seconds, holdtime 25 seconds Interface Policy 1 Monitored Interfaces 2 of 61 maximum MAC Address Move Notification Interval not set Version: Ours 9.4(1)203, Mate 9.4(1)203 Last Failover at: 15:13:54 UTC Jun 10 2017 This host: Primary - Active Active time: 1143 (sec) slot 0: empty Interface outside (117.111.111.1): Normal (Monitored) Interface inside (10.0.0.1): Normal (Monitored) Other host: Secondary - Standby Ready Active time: 0 (sec) Interface outside (117.111.111.2): Normal (Monitored) Interface inside (10.0.0.2): Normal (Monitored) Stateful Failover Logical Update Statistics Link : FAIL-LAN GigabitEthernet0/0 (up) Stateful Obj xmit xerr rcv rerr General 57 0 56 0 sys cmd 56 0 56 0 up time 0 0 0 0 RPC services 0 0 0 0 TCP conn 0 0 0 0 UDP conn 0 0 0 0 ARP tbl 0 0 0 0 Xlate_Timeout 0 0 0 0 IPv6 ND tbl 0 0 0 0 VPN IKEv1 SA 0 0 0 0 VPN IKEv1 P2 0 0 0 0 VPN IKEv2 SA 0 0 0 0 VPN IKEv2 P2 0 0 0 0 VPN CTCP upd 0 0 0 0 VPN SDI upd 0 0 0 0 VPN DHCP upd 0 0 0 0 SIP Session 0 0 0 0 SIP Tx 0 0 0 0 SIP Pinhole 0 0 0 0 Route Session 0 0 0 0 Router ID 0 0 0 0 User-Identity 1 0 0 0 CTS SGTNAME 0 0 0 0 CTS PAC 0 0 0 0 TrustSec-SXP 0 0 0 0 IPv6 Route 0 0 0 0 STS Table 0 0 0 0 Logical Update Queue Information Cur Max Total Recv Q: 0 17 57 Xmit Q: 0 29 341
İkincil birimde de aşağıdaki komutu uygulayın.
# sh failover Failover On Failover unit Secondary Failover LAN Interface: FAIL-LAN GigabitEthernet0/0 (up) Reconnect timeout 0:00:00 Unit Poll frequency 1 seconds, holdtime 15 seconds Interface Poll frequency 5 seconds, holdtime 25 seconds Interface Policy 1 Monitored Interfaces 2 of 61 maximum MAC Address Move Notification Interval not set Version: Ours 9.4(1)203, Mate 9.4(1)203 Last Failover at: 15:07:04 UTC Jun 10 2017 This host: Secondary - Standby Ready Active time: 0 (sec) slot 0: empty Interface inside (10.0.0.2): Normal (Monitored) Interface outside (117.111.111.2): Normal (Monitored) Other host: Primary - Active Active time: 1333 (sec) Interface inside (10.0.0.1): Normal (Monitored) Interface outside (117.111.111.1): Normal (Monitored) Stateful Failover Logical Update Statistics Link : FAIL-LAN GigabitEthernet0/0 (up) Stateful Obj xmit xerr rcv rerr General 82 0 83 0 sys cmd 82 0 82 0 up time 0 0 0 0 RPC services 0 0 0 0 TCP conn 0 0 0 0 UDP conn 0 0 0 0 ARP tbl 0 0 0 0 Xlate_Timeout 0 0 0 0 IPv6 ND tbl 0 0 0 0 VPN IKEv1 SA 0 0 0 0 VPN IKEv1 P2 0 0 0 0 VPN IKEv2 SA 0 0 0 0 VPN IKEv2 P2 0 0 0 0 VPN CTCP upd 0 0 0 0 VPN SDI upd 0 0 0 0 VPN DHCP upd 0 0 0 0 SIP Session 0 0 0 0 SIP Tx 0 0 0 0 SIP Pinhole 0 0 0 0 Route Session 0 0 0 0 Router ID 0 0 0 0 User-Identity 0 0 1 0 CTS SGTNAME 0 0 0 0 CTS PAC 0 0 0 0 TrustSec-SXP 0 0 0 0 IPv6 Route 0 0 0 0 STS Table 0 0 0 0 Logical Update Queue Information Cur Max Total Recv Q: 0 17 468 Xmit Q: 0 1 82
Uzun bir çıktı görmek istemiyorsanız, birincil birimde aşağıdaki komutu kullanabilirsiniz.
# sh failover state State Last Failure Reason Date/Time This host - Primary Active None Other host - Secondary Standby Ready Comm Failure 15:14:13 UTC Jun 10 2017 ====Configuration State=== Sync Done ====Communication State=== Mac set ====VM Properties Compatibility=== vCPUs - This host: 1 Other host: 1 Memory - This host: 2048 Mhz Other host: 2048 Mhz Interfaces - This host: 5 Other host: 5
7. Ek Yapılandırma Ayarlaması
Güvenlik nedeniyle, bir failover key yapılandırması yapmamız gerekir. Birincil birimde aşağıdaki komutu uygulayın. Yapılandırma, ikincil ünite ile otomatik olarak eşitleneceğinden, bu komutu ikincil ünitede tekrar uygulamanıza gerek yoktur.
# failover key Hi@K1y
8. Sonuç
Artık IOS 9.x çalıştıran iki Cisco ASA güvenlik duvarı arasında active/standby failover modunu kullanarak, high availability clustering yapısını yapılandırabilecek bilgiye sahipsiniz. Örneğimiz umarım bilgilendirici olmuştur. Soru veya öneriniz olursa, yorumlarınızı aşağıda yazabilirsiniz.