تكوين تجاوز فشل ASA النشط/النشط في FirePOWER 4100 Series

المقدمة

يصف هذا المستند كيفية تكوين تجاوز الفشل النشط/النشط في جهاز NGFW من Cisco Firepower 4145.

المتطلبات الأساسية

المتطلبات

cisco يوصي أن يتلقى أنت معرفة من هذا موضوع:

• تجاوز الفشل النشط/الاحتياطي في أجهزة الأمان المعدلة (ASA) من Cisco.

المكونات المستخدمة

تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:

• جهاز Cisco Firepower 4145 NGFW (ASA) 9.18(3)56
• نظام التشغيل القابل للتشغيل (FXOS) Firepower 2.12(0.498)
• نظام التشغيل Windows 10
  
  

تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.

معلومات أساسية

لا يتوفر تجاوز الفشل النشط/النشط إلا لأجهزة الأمان التي تعمل في وضع السياق المتعدد. في هذا الوضع، يتم تقسيم ASA منطقيا إلى أجهزة افتراضية متعددة، تعرف بالسياقات. يعمل كل سياق كجهاز مستقل، له سياسة الأمان والواجهات والإداريين الخاصين به.

يعد تجاوز الفشل النشط/النشط ميزة من ميزات جهاز الأمان القابل للتكيف (ASA) التي تسمح لجهازي طاقة نارية بتمرير حركة المرور في وقت واحد. يستخدم هذا التكوين عادة لسيناريو موازنة التحميل الذي تريد فيه تقسيم حركة مرور البيانات بين جهازين لزيادة الإنتاجية إلى الحد الأقصى. كما يتم إستخدامه لأغراض التكرار، لذلك في حالة فشل أحد محولات الوصول (ASA)، يمكن أن يتولى الآخر الأمر دون التسبب في تعطيل الخدمة.

تدفق حركة المرور

في تجاوز الفشل النشط/النشط، يمكن معالجة حركة مرور البيانات في النقوش المتعددة كما هو موضح في الصورة التالية.

تدفق حركة المرور

حالة تدفق حركة المرور 1

• الوحدة الأساسية: المجموعة 1 = نشط، المجموعة 2 = إستعداد
• الوحدة الثانوية: المجموعة 1 = إحتياطي، المجموعة 2 = نشط

حالة تدفق حركة المرور 1

حالة تدفق حركة المرور 2

• الوحدة الأساسية: المجموعة 1 = نشط، المجموعة 2 = نشط
• الوحدة الثانوية: المجموعة 1 = إحتياطي، المجموعة 2 = إحتياطي

حالة تدفق حركة المرور 2

حالة تدفق حركة المرور 3

• الوحدة الأساسية: المجموعة 1 = إحتياطي، المجموعة 2 = نشط
• الوحدة الثانوية: المجموعة 1 = نشط، المجموعة 2 = إستعداد

حالة تدفق حركة المرور 3

حالة تدفق حركة المرور 4

• الوحدة الأساسية: المجموعة 1 = إحتياطي، المجموعة 2 = إستعداد
• الوحدة الثانوية: المجموعة 1 = نشط، المجموعة 2 = نشط
  

  حالة تدفق حركة المرور 4

الرسم التخطيطي للشبكة

يقدم هذا المستند التكوين والتحقق لقاعدة تجاوز الفشل النشطة/النشطة على هذا المخطط.

failover lan unit primary failover lan interface fover E1/4 failover link fover_link E1/8 failover interface ip fover 192.168.240.254 255.255.255.0 standby 192.168.240.253 failover interface ip fover_link 192.168.250.254 255.255.255.0 standby 192.168.250.253 failover group 1　　　<--- group 1 is assigned to primary by default preempt 30 failover group 2 secondary preempt 30 failover prompt hostname state priority context

ب. تكوين مجموعة تجاوز الفشل للسياق (قم بتشغيل الأمر في سياق النظام للوحدة الأساسية).

admin-context admin context admin <--- admin context is assigned to group 1 by default allocate-interface E1/3 config-url disk0:/admin.cfg context con1 allocate-interface E1/1 allocate-interface E1/2 config-url disk0:/con1.cfg join-failover-group 1 <--- add con1 context to group 1 ! context con2 allocate-interface E1/5 allocate-interface E1/6 config-url disk0:/con2.cfg join-failover-group 2 <--- add con2 context to group 2

ج. تشغيل changeto context con1 لربط سياق con1 من سياق النظام . قم بتكوين IP لواجهة سياق con1 (قم بتشغيل الأمر في سياق con1 للوحدة الأساسية).

interface E1/1 nameif con1-inside ip address 192.168.10.254 255.255.255.0 standby 192.168.10.253 security-level 100 no shutdown interface E1/2 nameif con1-outside ip address 192.168.20.254 255.255.255.0 standby 192.168.20.253 no shutdown

د. تشغيل changeto context con2 لربط سياق CON2 من سياق النظام . قم بتكوين IP لواجهة سياق CON2 (قم بتشغيل الأمر في سياق CON2 للوحدة الأساسية).

interface E1/5 nameif con2-inside ip address 192.168.30.254 255.255.255.0 standby 192.168.30.253 security-level 100 no shutdown interface E1/6 nameif con2-outside ip address 192.168.40.254 255.255.255.0 standby 192.168.40.253 no shutdown

الخطوة 3. التكوين على الوحدة الثانوية

أ. الاتصال بواجهة سطر الأوامر (CLI) الثانوية الخاصة بنظام التشغيل FXOS عبر بروتوكول SSH أو وحدة التحكم. قم بتكوين تجاوز الفشل على الوحدة الثانوية (قم بتشغيل الأمر في سياق النظام للوحدة الثانوية).

failover lan unit secondary failover lan interface fover E1/4 failover link fover_link E1/8 failover interface ip fover 192.168.240.254 255.255.255.0 standby 192.168.240.253 failover interface ip fover_link 192.168.250.254 255.255.255.0 standby 192.168.250.253

ب. تشغيل failover الأمر (يتم تشغيله في سياق النظام للوحدة الثانوية).

failover 

الخطوة 4. تأكيد حالة تجاوز الفشل بعد انتهاء المزامنة بنجاح

أ. التشغيل show failover في سياق النظام للوحدة الثانوية.

asa# show failover Failover On Failover unit Secondary Failover LAN Interface: fover Ethernet1/4 (up) Version: Ours 9.18(3)56, Mate 9.18(3)56 Serial Number: Ours FCH23157YFY, Mate FCH23037U8R Group 1 last failover at: 17:00:56 JST Jan 11 2024 Group 2 last failover at: 17:00:56 JST Jan 11 2024 This host: Secondary　　　　<--- group 1 and group 2 are Standby status in Secondary Unit Group 1 State: Standby Ready Active time: 0 (sec) Group 2 State: Standby Ready Active time: 945 (sec) con1 Interface con1-inside (192.168.10.253): Unknown (Waiting) con1 Interface con1-outside (192.168.20.253): Unknown (Waiting) con2 Interface con2-inside (192.168.30.253): Unknown (Waiting) con2 Interface con2-outside (192.168.40.253): Normal (Waiting) Other host: Primary　　　　<--- group 1 and group 2 are Active status in Primary Unit Group 1 State: Active Active time: 1637 (sec) Group 2 State: Active Active time: 93 (sec) con1 Interface con1-inside (192.168.10.254): Normal (Monitored) con1 Interface con1-outside (192.168.20.254): Normal (Monitored) con2 Interface con2-inside (192.168.30.254): Normal (Waiting) con2 Interface con2-outside (192.168.40.254): Normal (Waiting) Stateful Failover Logical Update Statistics Link : fover_link Ethernet1/8 (up)

ب. (إختياري) قم بتشغيل no failover active group 2  الأمر لتحويل المجموعة 2 من الوحدة الأساسية يدويا إلى حالة الاستعداد (قم بالتشغيل في سياق النظام للوحدة الأساسية). يمكن أن يؤدي ذلك إلى موازنة حمل حركة المرور من خلال جدار الحماية.

no failover active group 2

ملاحظة: إذا قمت بتشغيل هذا الأمر، فإن حالة تجاوز الفشل تطابق حالة تدفق حركة المرور 1.

التحقق من الصحة

عندما ينخفض E1/1، يتم تشغيل تجاوز فشل المجموعة 1 وتأخذ واجهات البيانات الموجودة على جانب الاستعداد (الوحدة الثانوية) عنوان IP و MAC من الواجهة النشطة الأصلية، مما يضمن مرور البيانات (اتصال FTP في هذا المستند) بشكل مستمر بواسطة ASAs. 

قبل إيقاف الارتباط أثناء إيقاف الارتباط

تم تشغيل تجاوز الفشل

الخطوة 1. ابدأ اتصال FTP من نظام التشغيل Win10-01 إلى نظام التشغيل Win10-02

الخطوة 2. تأكيد اتصال FTP قبل تجاوز الفشل

تشغيل changeto context con1 للاتصال بسياق con1 من سياق النظام. تأكد من إنشاء اتصال FTP في كل من وحدتي ASA.

asa/act/pri/con1# show conn 5 in use, 11 most used
 ! --- Confirm the connection in Primary Unit TCP con1-outside 192.168.20.1:21 con1-inside 192.168.10.1:49703, idle 0:00:11, bytes 528, flags UIO asa/stby/sec/con1# show conn 5 in use, 11 most used
 ! --- Confirm the connection in Secondary Unit TCP con1-outside 192.168.20.1:21 con1-inside 192.168.10.1:49703, idle 0:00:14, bytes 528, flags UIO

الخطوة 3. LinkDown E1/1 للوحدة الأساسية

الخطوة 4. تأكيد حالة تجاوز الفشل

في سياق النظام، تأكد من حدوث تجاوز الفشل في المجموعة 1.

ملاحظة: حالة تجاوز الفشل تطابق حالة تدفق حركة المرور 4.

asa/act/sec# show failover Failover On Failover unit Secondary Failover LAN Interface: fover Ethernet1/4 (up) ...... Group 1 last failover at: 20:00:16 JST Jan 11 2024 Group 2 last failover at: 17:02:33 JST Jan 11 2024 This host: Secondary Group 1 State: Active　　<--- group 1 of Secondary Unit is Switching to Active Active time: 5 (sec) Group 2 State: Active Active time: 10663 (sec) con1 Interface con1-inside (192.168.10.254): Normal (Waiting) con1 Interface con1-outside (192.168.20.254): Normal (Waiting) con2 Interface con2-inside (192.168.30.254): Normal (Monitored) con2 Interface con2-outside (192.168.40.254): Normal (Monitored) Other host: Primary Group 1 State: Failed　　<--- group 1 of Primary Unit is Switching to Failed status Active time: 434 (sec) Group 2 State: Standby Ready Active time: 117 (sec) con1 Interface con1-inside (192.168.10.253): Failed (Waiting) con1 Interface con1-outside (192.168.20.253): Normal (Waiting) con2 Interface con2-inside (192.168.30.253): Normal (Monitored) con2 Interface con2-outside (192.168.40.253): Normal (Monitored)

الخطوة 5. تأكيد اتصال FTP بعد تجاوز الفشل

قم بتشغيل changeto context con1 للاتصال بسياق con1 من سياق النظام، وتأكد من عدم مقاطعة اتصال FTP.

asa/act/sec# changeto context con1 asa/act/sec/con1# show conn 11 in use, 11 most used 
! --- Confirm the target FTP connection exists in group 1 of the Secondary Unit TCP con1-outside 192.168.20.1:21 con1-inside 192.168.10.1:49703, idle 0:00:09, bytes 529, flags UIO 

الخطوة 6. تأكيد سلوك الوقت المستبق

LinkUP E1/1 للوحدة الأساسية وانتظر 30 ثانية (وقت مسبق)، ترجع حالة تجاوز الفشل إلى الحالة الأصلية (تطابق تدفق حركة المرور في النمط 1).

asa/stby/pri# Group 1 preempt mate　　　　<--- Failover is triggered automatically, after the preempt time has passed asa/act/pri# show failover Failover On Failover unit Primary Failover LAN Interface: fover Ethernet1/4 (up) ...... Group 1 last failover at: 11:02:33 UTC Jan 11 2024 Group 2 last failover at: 08:02:45 UTC Jan 11 2024 This host: Primary Group 1 State: Active　　<--- group 1 of Primary Unit is switching to Active status Active time: 34 (sec) Group 2 State: Standby Ready Active time: 117 (sec) con1 Interface con1-inside (192.168.10.254): Normal (Monitored) con1 Interface con1-outside (192.168.20.254): Normal (Monitored) con2 Interface con2-inside (192.168.30.253): Normal (Monitored) con2 Interface con2-outside (192.168.40.253): Normal (Monitored) Other host: Secondary Group 1 State: Standby Ready　　<---- group 1 of Secondary Unit is switching to Standby status Active time: 125 (sec) Group 2 State: Active Active time: 10816 (sec) con1 Interface con1-inside (192.168.10.253): Normal (Monitored) con1 Interface con1-outside (192.168.20.253): Normal (Monitored) con2 Interface con2-inside (192.168.30.254): Normal (Monitored) con2 Interface con2-outside (192.168.40.254): Normal (Monitored)

عنوان MAC الظاهري

في حالة تجاوز الفشل النشط/النشط، يتم دائما إستخدام عنوان MAC الظاهري (تعيين القيمة يدويا أو إنشاء القيمة تلقائيا أو القيمة الافتراضية). يرتبط عنوان MAC الظاهري النشط بالواجهة النشطة. 

الإعداد اليدوي لعنوان MAC الظاهري

in order to ثبتت الفعلي {upper}mac address للواجهات يدويا، mac address الأمر أو الأمر mac-address (ضمن I/F يثبت أسلوب) يستطيع كنت استعملت. هذا مثال على إعداد عنوان MAC ظاهري يدويا للواجهة المادية E1/1.

تحذير: يرجى تجنب إستخدام هذين النوعين من الأوامر داخل الجهاز نفسه.

asa/act/pri(config)# failover group 1 asa/act/pri(config-fover-group)# mac address E1/1 1234.1234.0001 1234.1234.0002 asa/act/pri(config-fover-group)# changeto context con1 asa/act/pri/con1(config)# show interface E1/1 | in MAC MAC address 1234.1234.0001, MTU 1500 <--- Checking virtual MAC on the Primary Unit(con1) side asa/stby/sec# changeto context con1 asa/stby/sec/con1# show interface E1/1 | in MAC MAC address 1234.1234.0002, MTU 1500 <--- Checking virtual MAC on the Secondary Unit(con1) side

أو

asa/act/pri(config)# changeto context con1 asa/act/pri/con1(config)# int E1/1 asa/act/pri/con1(config-if)# mac-addr 1234.1234.0001 standby 1234.1234.0002 asa/act/pri/con1(config)# show interface E1/1 | in MAC MAC address 1234.1234.0001, MTU 1500 <--- Checking virtual MAC on the Primary Unit(con1) side asa/stby/sec# changeto context con1 asa/stby/sec/con1# show interface E1/1 | in MAC MAC address 1234.1234.0002, MTU 1500<--- Checking virtual MAC on the Secondary Unit(con1) side

asa/act/pri(config)# mac-address auto 
INFO: Converted to mac-address auto prefix 31

asa/act/pri(config)# show run all context con1 <--- Checking the virtual MAC addresses generated on con1 context
allocate-interface Ethernet1/1 
mac-address auto Ethernet1/1 a21f.0000.0008 a21f.0000.0009
allocate-interface Ethernet1/2 
mac-address auto Ethernet1/2 a21f.0000.000a a21f.0000.000b
config-url disk0:/con1.cfg
join-failover-group 1

asa/act/pri(config)# show run all context con2 <--- Checking the virtual MAC addresses generated on con2 context
context con2
allocate-interface Ethernet1/5 
mac-address auto Ethernet1/5 a21f.0000.000c a21f.0000.000d
allocate-interface Ethernet1/6 
mac-address auto Ethernet1/6 a21f.0000.000e a21f.0000.000f
config-url disk0:/con2.cfg
join-failover-group 2    

الترقية