تسعى مجموعة الوثائق لهذا المنتج جاهدة لاستخدام لغة خالية من التحيز. لأغراض مجموعة الوثائق هذه، يتم تعريف "خالية من التحيز" على أنها لغة لا تعني التمييز على أساس العمر، والإعاقة، والجنس، والهوية العرقية، والهوية الإثنية، والتوجه الجنسي، والحالة الاجتماعية والاقتصادية، والتمييز متعدد الجوانب. قد تكون الاستثناءات موجودة في الوثائق بسبب اللغة التي يتم تشفيرها بشكل ثابت في واجهات المستخدم الخاصة ببرنامج المنتج، أو اللغة المستخدمة بناءً على وثائق RFP، أو اللغة التي يستخدمها منتج الجهة الخارجية المُشار إليه. تعرّف على المزيد حول كيفية استخدام Cisco للغة الشاملة.
ترجمت Cisco هذا المستند باستخدام مجموعة من التقنيات الآلية والبشرية لتقديم محتوى دعم للمستخدمين في جميع أنحاء العالم بلغتهم الخاصة. يُرجى ملاحظة أن أفضل ترجمة آلية لن تكون دقيقة كما هو الحال مع الترجمة الاحترافية التي يقدمها مترجم محترف. تخلي Cisco Systems مسئوليتها عن دقة هذه الترجمات وتُوصي بالرجوع دائمًا إلى المستند الإنجليزي الأصلي (الرابط متوفر).
يصف هذا المستند كيفية تكوين تجاوز الفشل النشط/النشط في جهاز NGFW من Cisco Firepower 4145.
cisco يوصي أن يتلقى أنت معرفة من هذا موضوع:
تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.
لا يتوفر تجاوز الفشل النشط/النشط إلا لأجهزة الأمان التي تعمل في وضع السياق المتعدد. في هذا الوضع، يتم تقسيم ASA منطقيا إلى أجهزة افتراضية متعددة، تعرف بالسياقات. يعمل كل سياق كجهاز مستقل، له سياسة الأمان والواجهات والإداريين الخاصين به.
يعد تجاوز الفشل النشط/النشط ميزة من ميزات جهاز الأمان القابل للتكيف (ASA) التي تسمح لجهازي طاقة نارية بتمرير حركة المرور في وقت واحد. يستخدم هذا التكوين عادة لسيناريو موازنة التحميل الذي تريد فيه تقسيم حركة مرور البيانات بين جهازين لزيادة الإنتاجية إلى الحد الأقصى. كما يتم إستخدامه لأغراض التكرار، لذلك في حالة فشل أحد محولات الوصول (ASA)، يمكن أن يتولى الآخر الأمر دون التسبب في تعطيل الخدمة.
يتم تخصيص كل سياق في تجاوز الفشل النشط/النشط يدويا لكل مجموعة من المجموعات 1 أو المجموعة 2. يتم تعيين سياق Admin إلى المجموعة 1 بشكل افتراضي. وتقوم المجموعة نفسها (المجموعة 1 أو المجموعة 2) في الهيكلين (الوحدات) بتكوين زوج التغلب على الأعطال الذي يحقق وظيفة التكرار. إن سلوك كل زوج من أزواج تجاوز الفشل هو بشكل أساسي نفس السلوك في حالات تجاوز الفشل في وضع الاستعداد/النشط. لمزيد من التفاصيل حول تجاوز الفشل في وضع الاستعداد/النشط، يرجى الرجوع إلى تكوين تجاوز الفشل في وضع الاستعداد/النشط. في حالة تجاوز الأعطال النشطة/النشطة، بالإضافة إلى الدور (أساسي أو ثانوي) لكل هيكل، يكون لكل مجموعة دور أيضا (أساسي أو ثانوي). يتم تعيين هذه الأدوار مسبقا يدويا بواسطة المستخدم ويتم إستخدامها لتحديد حالة التوفر العالي (HA) (نشط أو في وضع الاستعداد) لكل مجموعة لتجاوز الفشل.
سياق Admin هو سياق خاص يعالج اتصال إدارة الهيكل الأساسي (مثل SSH). هذه صورة لتجاوز الفشل النشط/النشط.
في تجاوز الفشل النشط/النشط، يمكن معالجة حركة مرور البيانات في النقوش المتعددة كما هو موضح في الصورة التالية.
في حالة تجاوز الفشل النشط/النشط، يتم تحديد حالة (نشط/إحتياطي) كل مجموعة بواسطة القواعد التالية:
هذا مثال على تغيير الحالة.
للحصول على تفاصيل حول مشغلات تجاوز الأعطال ومراقبة الصحة، يرجى الرجوع إلى أحداث تجاوز الأعطال.
1. يجري تشغيل كلا الجهازين في نفس الوقت تقريبا.
2. انقضاء الوقت المستبق (30 في هذا المستند).
3. حدث فشل (مثل Interface Down) في المجموعة 1 من الوحدة الأساسية.
4. فترة الإستباق (30 في هذا المستند) التي مرت منذ إسترداد المجموعة 1 من الجهاز الأساسي من الفشل.
5. تعيين المجموعة 2 للوحدة الأساسية يدويا إلى نشط.
يقدم هذا المستند التكوين والتحقق لقاعدة تجاوز الفشل النشطة/النشطة على هذا المخطط.
بالنسبة لكل من FirePOWER، قم بتسجيل الدخول إلى واجهة المستخدم الرسومية (GUI) الخاصة ب FCM. انتقل إلى الأجهزة المنطقية > تحرير. إضافة واجهة بيانات إلى ASA، كما هو موضح في الصورة.
الاتصال بواجهة سطر أوامر FXOS الأساسية عبر SSH أو وحدة التحكم. التشغيل connect module 1 console
connect asaوالأمر لإدخال واجهة سطر الأوامر (CLI) ل ASA.
أ. تكوين تجاوز الفشل على الوحدة الأساسية (قم بتشغيل الأمر في سياق النظام للوحدة الأساسية).
failover lan unit primary failover lan interface fover E1/4 failover link fover_link E1/8 failover interface ip fover 192.168.240.254 255.255.255.0 standby 192.168.240.253 failover interface ip fover_link 192.168.250.254 255.255.255.0 standby 192.168.250.253 failover group 1 <--- group 1 is assigned to primary by default preempt 30 failover group 2 secondary preempt 30 failover prompt hostname state priority context
ب. تكوين مجموعة تجاوز الفشل للسياق (قم بتشغيل الأمر في سياق النظام للوحدة الأساسية).
admin-context admin context admin <--- admin context is assigned to group 1 by default allocate-interface E1/3 config-url disk0:/admin.cfg context con1 allocate-interface E1/1 allocate-interface E1/2 config-url disk0:/con1.cfg join-failover-group 1 <--- add con1 context to group 1 ! context con2 allocate-interface E1/5 allocate-interface E1/6 config-url disk0:/con2.cfg join-failover-group 2 <--- add con2 context to group 2
ج. تشغيل
changeto context con1 لربط سياق con1 من سياق النظام . قم بتكوين IP لواجهة سياق con1 (قم بتشغيل الأمر في سياق con1 للوحدة الأساسية).
interface E1/1 nameif con1-inside ip address 192.168.10.254 255.255.255.0 standby 192.168.10.253 security-level 100 no shutdown interface E1/2 nameif con1-outside ip address 192.168.20.254 255.255.255.0 standby 192.168.20.253 no shutdown
د. تشغيل
changeto context con2 لربط سياق CON2 من سياق النظام . قم بتكوين IP لواجهة سياق CON2 (قم بتشغيل الأمر في سياق CON2 للوحدة الأساسية).
interface E1/5 nameif con2-inside ip address 192.168.30.254 255.255.255.0 standby 192.168.30.253 security-level 100 no shutdown interface E1/6 nameif con2-outside ip address 192.168.40.254 255.255.255.0 standby 192.168.40.253 no shutdown
الخطوة 3. التكوين على الوحدة الثانوية
أ. الاتصال بواجهة سطر الأوامر (CLI) الثانوية الخاصة بنظام التشغيل FXOS عبر بروتوكول SSH أو وحدة التحكم. قم بتكوين تجاوز الفشل على الوحدة الثانوية (قم بتشغيل الأمر في سياق النظام للوحدة الثانوية).
failover lan unit secondary failover lan interface fover E1/4 failover link fover_link E1/8 failover interface ip fover 192.168.240.254 255.255.255.0 standby 192.168.240.253 failover interface ip fover_link 192.168.250.254 255.255.255.0 standby 192.168.250.253
ب. تشغيل
failover الأمر (يتم تشغيله في سياق النظام للوحدة الثانوية).
failover
الخطوة 4. تأكيد حالة تجاوز الفشل بعد انتهاء المزامنة بنجاح
أ. التشغيل
show failover في سياق النظام للوحدة الثانوية.
asa# show failover Failover On Failover unit Secondary Failover LAN Interface: fover Ethernet1/4 (up) Version: Ours 9.18(3)56, Mate 9.18(3)56 Serial Number: Ours FCH23157YFY, Mate FCH23037U8R Group 1 last failover at: 17:00:56 JST Jan 11 2024 Group 2 last failover at: 17:00:56 JST Jan 11 2024 This host: Secondary <--- group 1 and group 2 are Standby status in Secondary Unit Group 1 State: Standby Ready Active time: 0 (sec) Group 2 State: Standby Ready Active time: 945 (sec) con1 Interface con1-inside (192.168.10.253): Unknown (Waiting) con1 Interface con1-outside (192.168.20.253): Unknown (Waiting) con2 Interface con2-inside (192.168.30.253): Unknown (Waiting) con2 Interface con2-outside (192.168.40.253): Normal (Waiting) Other host: Primary <--- group 1 and group 2 are Active status in Primary Unit Group 1 State: Active Active time: 1637 (sec) Group 2 State: Active Active time: 93 (sec) con1 Interface con1-inside (192.168.10.254): Normal (Monitored) con1 Interface con1-outside (192.168.20.254): Normal (Monitored) con2 Interface con2-inside (192.168.30.254): Normal (Waiting) con2 Interface con2-outside (192.168.40.254): Normal (Waiting) Stateful Failover Logical Update Statistics Link : fover_link Ethernet1/8 (up)
ب. (إختياري) قم بتشغيل
no failover active group 2 الأمر لتحويل المجموعة 2 من الوحدة الأساسية يدويا إلى حالة الاستعداد (قم بالتشغيل في سياق النظام للوحدة الأساسية). يمكن أن يؤدي ذلك إلى موازنة حمل حركة المرور من خلال جدار الحماية.
no failover active group 2
ملاحظة: إذا قمت بتشغيل هذا الأمر، فإن حالة تجاوز الفشل تطابق حالة تدفق حركة المرور 1.
التحقق من الصحة
عندما ينخفض E1/1، يتم تشغيل تجاوز فشل المجموعة 1 وتأخذ واجهات البيانات الموجودة على جانب الاستعداد (الوحدة الثانوية) عنوان IP و MAC من الواجهة النشطة الأصلية، مما يضمن مرور البيانات (اتصال FTP في هذا المستند) بشكل مستمر بواسطة ASAs.
الخطوة 1. ابدأ اتصال FTP من نظام التشغيل Win10-01 إلى نظام التشغيل Win10-02
الخطوة 2. تأكيد اتصال FTP قبل تجاوز الفشل
تشغيل
changeto context con1 للاتصال بسياق con1 من سياق النظام. تأكد من إنشاء اتصال FTP في كل من وحدتي ASA.
asa/act/pri/con1# show conn 5 in use, 11 most used
! --- Confirm the connection in Primary Unit TCP con1-outside 192.168.20.1:21 con1-inside 192.168.10.1:49703, idle 0:00:11, bytes 528, flags UIO asa/stby/sec/con1# show conn 5 in use, 11 most used
! --- Confirm the connection in Secondary Unit TCP con1-outside 192.168.20.1:21 con1-inside 192.168.10.1:49703, idle 0:00:14, bytes 528, flags UIO
الخطوة 3. LinkDown E1/1 للوحدة الأساسية
الخطوة 4. تأكيد حالة تجاوز الفشل
في سياق النظام، تأكد من حدوث تجاوز الفشل في المجموعة 1.
ملاحظة: حالة تجاوز الفشل تطابق حالة تدفق حركة المرور 4.
asa/act/sec# show failover Failover On Failover unit Secondary Failover LAN Interface: fover Ethernet1/4 (up) ...... Group 1 last failover at: 20:00:16 JST Jan 11 2024 Group 2 last failover at: 17:02:33 JST Jan 11 2024 This host: Secondary Group 1 State: Active <--- group 1 of Secondary Unit is Switching to Active Active time: 5 (sec) Group 2 State: Active Active time: 10663 (sec) con1 Interface con1-inside (192.168.10.254): Normal (Waiting) con1 Interface con1-outside (192.168.20.254): Normal (Waiting) con2 Interface con2-inside (192.168.30.254): Normal (Monitored) con2 Interface con2-outside (192.168.40.254): Normal (Monitored) Other host: Primary Group 1 State: Failed <--- group 1 of Primary Unit is Switching to Failed status Active time: 434 (sec) Group 2 State: Standby Ready Active time: 117 (sec) con1 Interface con1-inside (192.168.10.253): Failed (Waiting) con1 Interface con1-outside (192.168.20.253): Normal (Waiting) con2 Interface con2-inside (192.168.30.253): Normal (Monitored) con2 Interface con2-outside (192.168.40.253): Normal (Monitored)
الخطوة 5. تأكيد اتصال FTP بعد تجاوز الفشل
قم بتشغيل
changeto context con1 للاتصال بسياق con1 من سياق النظام، وتأكد من عدم مقاطعة اتصال FTP.
asa/act/sec# changeto context con1 asa/act/sec/con1# show conn 11 in use, 11 most used
! --- Confirm the target FTP connection exists in group 1 of the Secondary Unit TCP con1-outside 192.168.20.1:21 con1-inside 192.168.10.1:49703, idle 0:00:09, bytes 529, flags UIO
الخطوة 6. تأكيد سلوك الوقت المستبق
LinkUP E1/1 للوحدة الأساسية وانتظر 30 ثانية (وقت مسبق)، ترجع حالة تجاوز الفشل إلى الحالة الأصلية (تطابق تدفق حركة المرور في النمط 1).
asa/stby/pri# Group 1 preempt mate <--- Failover is triggered automatically, after the preempt time has passed asa/act/pri# show failover Failover On Failover unit Primary Failover LAN Interface: fover Ethernet1/4 (up) ...... Group 1 last failover at: 11:02:33 UTC Jan 11 2024 Group 2 last failover at: 08:02:45 UTC Jan 11 2024 This host: Primary Group 1 State: Active <--- group 1 of Primary Unit is switching to Active status Active time: 34 (sec) Group 2 State: Standby Ready Active time: 117 (sec) con1 Interface con1-inside (192.168.10.254): Normal (Monitored) con1 Interface con1-outside (192.168.20.254): Normal (Monitored) con2 Interface con2-inside (192.168.30.253): Normal (Monitored) con2 Interface con2-outside (192.168.40.253): Normal (Monitored) Other host: Secondary Group 1 State: Standby Ready <---- group 1 of Secondary Unit is switching to Standby status Active time: 125 (sec) Group 2 State: Active Active time: 10816 (sec) con1 Interface con1-inside (192.168.10.253): Normal (Monitored) con1 Interface con1-outside (192.168.20.253): Normal (Monitored) con2 Interface con2-inside (192.168.30.254): Normal (Monitored) con2 Interface con2-outside (192.168.40.254): Normal (Monitored)
عنوان MAC الظاهري
في حالة تجاوز الفشل النشط/النشط، يتم دائما إستخدام عنوان MAC الظاهري (تعيين القيمة يدويا أو إنشاء القيمة تلقائيا أو القيمة الافتراضية). يرتبط عنوان MAC الظاهري النشط بالواجهة النشطة.
الإعداد اليدوي لعنوان MAC الظاهري
in order to ثبتت الفعلي {upper}mac address للواجهات يدويا،
mac address الأمر أو الأمر
mac-address (ضمن I/F يثبت أسلوب) يستطيع كنت استعملت. هذا مثال على إعداد عنوان MAC ظاهري يدويا للواجهة المادية E1/1.
تحذير: يرجى تجنب إستخدام هذين النوعين من الأوامر داخل الجهاز نفسه.
asa/act/pri(config)# failover group 1 asa/act/pri(config-fover-group)# mac address E1/1 1234.1234.0001 1234.1234.0002 asa/act/pri(config-fover-group)# changeto context con1 asa/act/pri/con1(config)# show interface E1/1 | in MAC MAC address 1234.1234.0001, MTU 1500 <--- Checking virtual MAC on the Primary Unit(con1) side asa/stby/sec# changeto context con1 asa/stby/sec/con1# show interface E1/1 | in MAC MAC address 1234.1234.0002, MTU 1500 <--- Checking virtual MAC on the Secondary Unit(con1) side
أو
asa/act/pri(config)# changeto context con1 asa/act/pri/con1(config)# int E1/1 asa/act/pri/con1(config-if)# mac-addr 1234.1234.0001 standby 1234.1234.0002 asa/act/pri/con1(config)# show interface E1/1 | in MAC MAC address 1234.1234.0001, MTU 1500 <--- Checking virtual MAC on the Primary Unit(con1) side asa/stby/sec# changeto context con1 asa/stby/sec/con1# show interface E1/1 | in MAC MAC address 1234.1234.0002, MTU 1500
<--- Checking virtual MAC on the Secondary Unit(con1) side
الإعداد التلقائي لعنوان MAC الظاهري
يتم أيضا دعم الإنشاء التلقائي لعنوان MAC الظاهري. ويمكن تحقيقه باستخدام mac-address auto <prefix prefix> الأمر. تنسيق عنوان MAC الظاهري هو A2 xx.yyzz.zzzz الذي يتم إنشاؤه تلقائيا.
A2: قيمة ثابتة
xx.yy: تم إنشاؤه بواسطة <prefix prefix> المحدد في خيار الأمر (يتم تحويل البادئة إلى سداسية عشرية ثم يتم إدراجها بالترتيب العكسي).
zz.zzzz: تم إنشاؤه بواسطة عداد داخلي
هذا مثال حول إنشاء عنوان MAC ظاهري حسب mac-address auto الأمر للواجهة.
asa/act/pri(config)# mac-address auto
INFO: Converted to mac-address auto prefix 31
asa/act/pri(config)# show run all context con1 <--- Checking the virtual MAC addresses generated on con1 context
allocate-interface Ethernet1/1
mac-address auto Ethernet1/1 a21f.0000.0008 a21f.0000.0009
allocate-interface Ethernet1/2
mac-address auto Ethernet1/2 a21f.0000.000a a21f.0000.000b
config-url disk0:/con1.cfg
join-failover-group 1
asa/act/pri(config)# show run all context con2 <--- Checking the virtual MAC addresses generated on con2 context
context con2
allocate-interface Ethernet1/5
mac-address auto Ethernet1/5 a21f.0000.000c a21f.0000.000d
allocate-interface Ethernet1/6
mac-address auto Ethernet1/6 a21f.0000.000e a21f.0000.000f
config-url disk0:/con2.cfg
join-failover-group 2
الإعداد الافتراضي لعنوان MAC الظاهري
في حالة عدم تعيين إنشاء تلقائي أو يدوي لعنوان MAC ظاهري، يتم إستخدام عنوان MAC الافتراضي.
للحصول على مزيد من المعلومات حول عنوان MAC الافتراضي، يرجى الرجوع إلى الأمر الافتراضي من عنوان MAC في دليل مرجع الأوامر من سلسلة Cisco Secure Firewall ASA.
الترقية
يمكنك تحقيق ترقية صفرية وقت التوقف عن العمل لزوج تجاوز الأعطال النشط/النشط باستخدام CLI (واجهة سطر الأوامر) أو ASDM. لمزيد من المعلومات، يرجى الرجوع إلى ترقية زوج تجاوز الفشل النشط/النشط.
المراجعة | تاريخ النشر | التعليقات |
---|---|---|
1.0 |
07-Feb-2024 |
الإصدار الأولي |