ASA 방화벽을 액티브/스탠바이 장애 조치 쌍으로 교체

다운로드 옵션

  • PDF     (267.0 KB)
    다양한 디바이스에서 Adobe Reader로 보기
  • ePub     (78.9 KB)
    iPhone, iPad, Android, Sony Reader 또는 Windows Phone의 다양한 앱에서 보기
  • Mobi (Kindle)     (70.2 KB)
    Kindle 디바이스에서 보기 또는 다양한 디바이스의 Kindle 앱에서 보기
업데이트:2024년 11월 1일
문서 ID:220525

편견 없는 언어

본 제품에 대한 문서 세트는 편견 없는 언어를 사용하기 위해 노력합니다. 본 설명서 세트의 목적상, 편견 없는 언어는 나이, 장애, 성별, 인종 정체성, 민족 정체성, 성적 지향성, 사회 경제적 지위 및 교차성에 기초한 차별을 의미하지 않는 언어로 정의됩니다. 제품 소프트웨어의 사용자 인터페이스에서 하드코딩된 언어, RFP 설명서에 기초한 언어 또는 참조된 서드파티 제품에서 사용하는 언어로 인해 설명서에 예외가 있을 수 있습니다. 시스코에서 어떤 방식으로 포용적인 언어를 사용하고 있는지 자세히 알아보세요.

이 번역에 관하여

Cisco는 전 세계 사용자에게 다양한 언어로 지원 콘텐츠를 제공하기 위해 기계 번역 기술과 수작업 번역을 병행하여 이 문서를 번역했습니다. 아무리 품질이 높은 기계 번역이라도 전문 번역가의 번역 결과물만큼 정확하지는 않습니다. Cisco Systems, Inc.는 이 같은 번역에 대해 어떠한 책임도 지지 않으며 항상 원본 영문 문서(링크 제공됨)를 참조할 것을 권장합니다.

    소개

    이 문서에서는 ASA(Adaptive Security Appliance) 방화벽을 액티브/스탠바이 장애 조치 쌍으로 교체하는 방법에 대해 설명합니다.

    배경 정보

    ASA 방화벽은 액티브/액티브 장애 조치와 액티브/스탠바이 장애 조치의 두 가지 장애 조치 컨피그레이션을 지원합니다.

    2개의 방화벽이 있습니다.

    • 방화벽 a가 기본/활성 상태임
    • firewall-b는 보조/대기

    장애 조치 컨피그레이션의 기본 유닛과 보조 유닛 간의 차이점

    이 명령은 이 방화벽이 항상 활성 컨피그레이션을 보조 방화벽으로 푸시함을 의미합니다.

    # failover lan unit primary

    이 명령은 이 방화벽이 항상 기본 방화벽에서 활성 컨피그레이션을 수신함을 의미합니다.

    # failover lan unit secondary

    장애 조치 컨피그레이션의 액티브 유닛과 스탠바이 유닛 간의 차이점

    이 명령은 이 방화벽이 장애 조치 쌍에서 활성 상태로 실행 중인 방화벽임을 의미합니다.

    # failover active

    이 명령은 이 방화벽이 장애 조치 쌍에서 방화벽을 실행 중인 스탠바이임을 의미합니다.

    # failover standby

    보조 방화벽 오류 교체

    1. 기본 방화벽이 활성 상태이고 온라인 상태인지 확인합니다. 예를 들면 다음과 같습니다. 

    firewall-a/pri/act# show failover 
Failover On 
Failover unit Primary
Failover LAN Interface: sync Port-channel1 (up)
Reconnect timeout 0:00:00
Unit Poll frequency 1 seconds, holdtime 15 seconds
Interface Poll frequency 5 seconds, holdtime 25 seconds
Interface Policy 1
Monitored Interfaces 0 of 1292 maximum
MAC Address Move Notification Interval not set
Version: Ours 9.12(4)56, Mate 9.12(4)56
Serial Number: Ours JADSERIAL1, Mate JADSERIAL2
Last Failover at: 19:54:29 GMT May 23 2023
	This host: Primary - Active 
		Active time: 2204 (sec)
		slot 0: FPR-2110 hw/sw rev (49.46/9.12(4)56) status (Up Sys)
		  Interface inside (10.0.0.1): Normal (Not-Monitored)
		  Interface outside (10.1.1.1): Normal (Not-Monitored)
		  Interface management (10.2.2.1): Normal (Not-Monitored)
	Other host: Secondary - Failed 
		Active time: 0 (sec)
		slot 0: FPR-2110 hw/sw rev (49.46/9.12(4)56) status (Up Sys)
		  Interface inside (10.0.0.2): Normal (Not-Monitored)
		  Interface outside (10.1.1.2): Normal (Not-Monitored)
		  Interface management (10.2.2.2): Normal (Not-Monitored)

    2. 보조 방화벽을 종료하고 물리적으로 제거합니다.

    3. 새 보조 방화벽을 물리적으로 추가하고 전원을 켭니다.

    4. 새 보조 방화벽이 공장 기본 컨피그레이션에서 활성화되면 장애 조치 링크인 장애 조치 물리적 링크를no shutdown활성화합니다.

    예:

    firewall-a/pri/act#conf t
firewall-a/pri/act#(config)#interface Port-channel1
firewall-a/pri/act#(config-if)#no shutdown
firewall-a/pri/act#(config)#exit
firewall-a/pri/act#
firewall-b/sec/stby#conf t
firewall-b/sec/stby#(config)#interface Port-channel1
firewall-b/sec/stby#(config-if)#no shutdown
firewall-b/sec/stby#(config)#exit
firewall-b/sec/stby#

    5. failover 명령을 구성합니다. 예를 들면 다음과 같습니다.

    firewall-a/pri/act# sh run | inc fail
failover
failover lan unit primary
failover lan interface sync Port-channel1
failover link sync Port-channel1
failover interface ip sync 10.10.13.9 255.255.255.252 standby 10.10.13.10
no failover wait-disable
firewall-a/pri/act# 

firewall-b/sec/stby# sh run | inc fail
no failover
failover lan unit secondary
failover lan interface sync Port-channel1
failover link sync Port-channel1
failover interface ip sync 10.10.13.9 255.255.255.252 standby 10.10.13.10
no failover wait-disable
firewall-b/sec/stby#

    6. 새 보조 방화벽에서 장애 조치를 활성화합니다. 예를 들면 다음과 같습니다.

    firewall-b/sec/stby#conf t
firewall-b/sec/stby#(config)#failover
firewall-b/sec/stby#(config)#exit
firewall-b/sec/stby#
firewall-b/sec/stby# sh run | inc fail
failover
firewall-b/sec/stby#

    7. 활성 컨피그레이션이 새 유닛에 동기화될 때까지 기다린 후 올바른 장애 조치 상태를 확인합니다. 예를 들면 다음과 같습니다.

    firewall-a/pri/act# 
Beginning configuration replication: Sending to mate.
End Configuration Replication to mate
firewall-a/pri/act# 
firewall-b/sec/stby# 
Beginning configuration replication from mate.
End configuration replication from mate.
firewall-b/sec/stby#
    note-icon

    참고: 기본 방화벽(firewall-a)이 컨피그레이션을 보조 방화벽(firewall-b)으로 전송합니다.

    8. Primary/Active에 컨피그레이션을 저장하고 새 Secondary/Standby에 쓰기 메모리를 확인합니다. 예를 들면 다음과 같습니다.

    firewall-a/pri/act#write memory
Building configuration...
Cryptochecksum: ad317407 935a773c 6c5fb66a c5edc342 
64509 bytes copied in 9.290 secs (7167 bytes/sec)
[OK]
firewall-a/pri/act#
firewall-b/sec/stby# 
May 24 2023 15:16:21 firewall-b : %ASA-5-111001: Begin configuration: console writing to memory
May 24 2023 15:16:22 firewall-b : %ASA-5-111004: console end configuration: OK
May 24 2023 15:16:22 firewall-b : %ASA-5-111008: User 'failover' executed the 'write memory' command.
May 24 2023 15:16:22 firewall-b : %ASA-5-111010: User 'failover', running 'N/A' from IP x.x.x.x , executed 'write memory'
firewall-b/sec/stby#

    9. 두 방화벽에서 장애 조치 쌍이 작동/작동 중인지 확인합니다. 예를 들면 다음과 같습니다.

    firewall-a/pri/act# show failover 
Failover On 
Failover unit Primary
Failover LAN Interface: sync Port-channel1 (up)
Reconnect timeout 0:00:00
Unit Poll frequency 1 seconds, holdtime 15 seconds
Interface Poll frequency 5 seconds, holdtime 25 seconds
Interface Policy 1
Monitored Interfaces 0 of 1292 maximum
MAC Address Move Notification Interval not set
Version: Ours 9.12(4)56, Mate 9.12(4)56
Serial Number: Ours JADSERIAL1, Mate JADSERIAL2
Last Failover at: 19:54:29 GMT May 23 2023
	This host: Primary - Active 
		Active time: 71564 (sec)
		slot 0: FPR-2110 hw/sw rev (49.46/9.12(4)56) status (Up Sys)
		  Interface inside (10.0.0.1): Normal (Not-Monitored)
		  Interface outside (10.1.1.1): Normal (Not-Monitored)
		  Interface management (10.2.2.1): Normal (Not-Monitored)
	Other host: Secondary - Standby Ready 
		Active time: 0 (sec)
		slot 0: FPR-2110 hw/sw rev (49.46/9.12(4)56) status (Up Sys)
		  Interface inside (10.0.0.2): Normal (Not-Monitored)
		  Interface outside (10.1.1.2): Normal (Not-Monitored)
		  Interface management (10.2.2.2): Normal (Not-Monitored)

firewall-b/sec/stby# show failover 
Failover On 
Failover unit Secondary
Failover LAN Interface: sync Port-channel1 (up)
Reconnect timeout 0:00:00
Unit Poll frequency 1 seconds, holdtime 15 seconds
Interface Poll frequency 5 seconds, holdtime 25 seconds
Interface Policy 1
Monitored Interfaces 0 of 1292 maximum
MAC Address Move Notification Interval not set
Version: Ours 9.12(4)56, Mate 9.12(4)56
Serial Number: Ours JADSERIAL2, Mate JADSERIAL1
Last Failover at: 20:51:27 GMT May 23 2023
	This host: Secondary - Standby Ready 
		Active time: 0 (sec)
		slot 0: FPR-2110 hw/sw rev (49.46/9.12(4)56) status (Up Sys)
		  Interface inside (10.0.0.2): Normal (Not-Monitored)
		  Interface outside (10.1.1.2): Normal (Not-Monitored)
		  Interface management (10.2.2.2): Normal (Not-Monitored)
	Other host: Primary - Active 
		Active time: 71635 (sec)
		slot 0: FPR-2110 hw/sw rev (49.46/9.12(4)56) status (Up Sys)
		  Interface inside (10.0.0.1: Normal (Not-Monitored)
		  Interface outide (10.1.1.1): Normal (Not-Monitored)
		  Interface management (10.2.2.1): Normal (Not-Monitored)

    기본 방화벽 오류 교체

    1. 보조 방화벽이 활성 상태이고 온라인 상태인지 확인합니다. 예를 들면 다음과 같습니다.
    firewall-b/sec/act# show failover 
Failover On 
Failover unit Secondary
Failover LAN Interface: sync Port-channel1 (up)
Reconnect timeout 0:00:00
Unit Poll frequency 1 seconds, holdtime 15 seconds
Interface Poll frequency 5 seconds, holdtime 25 seconds
Interface Policy 1
Monitored Interfaces 0 of 1292 maximum
MAC Address Move Notification Interval not set
Version: Ours 9.12(4)56, Mate 9.12(4)56
Serial Number: Ours JADSERIAL2, Mate JADSERIAL1
Last Failover at: 19:54:29 GMT May 23 2023
	This host: Secondary - Active 
		Active time: 2204 (sec)
		slot 0: FPR-2110 hw/sw rev (49.46/9.12(4)56) status (Up Sys)
		  Interface inside (10.0.0.1): Normal (Not-Monitored)
		  Interface outside (10.1.1.1): Normal (Not-Monitored)
		  Interface management (10.2.2.1): Normal (Not-Monitored)
	Other host: Primary - Failed 
		Active time: 0 (sec)
		slot 0: FPR-2110 hw/sw rev (49.46/9.12(4)56) status (Up Sys)
		  Interface inside (10.0.0.2): Normal (Not-Monitored)
		  Interface outside (10.1.1.2): Normal (Not-Monitored)
		  Interface management (10.2.2.2): Normal (Not-Monitored)
    1. 기본 방화벽을 종료하고 물리적으로 제거합니다.
    2. 새 기본 방화벽을 물리적으로 추가하고 전원을 켭니다.
    3. 이제 새로운 기본 방화벽은 공장 기본 컨피그레이션으로 활성화됩니다.
    4. 장애 조치 링크를 활성화하면 장애 조치 물리적 링크가 종료되지 않습니다. 예를 들면 다음과 같습니다.
    firewall-a/pri/stby#conf t
firewall-a/pri/stby#(config)#interface Port-channel1
firewall-a/pri/stby#(config-if)#no shutdown
firewall-a/pri/stby#(config)#exit
firewall-a/pri/stby#

firewall-b/sec/act#conf t
firewall-b/sec/act#(config)#interface Port-channel1
firewall-b/sec/act#(config-if)#no shutdown
firewall-b/sec/act#(config)#exit
firewall-b/sec/act#
    1. 구성을 저장합니다. 보조 /활성 방화벽 메모리를 쓰고 장애 조치 lan 유닛 보조가 시작 컨피그레이션에 있는지 확인합니다.

    예:

    firewall-b/sec/act# write memory
Building configuration...
Cryptochecksum: ad317407 935a773c 6c5fb66a c5edc342 

64509 bytes copied in 9.290 secs (7167 bytes/sec)
[OK]
firewall-b/sec/act# show start | inc unit
failover lan unit secondary
firewall-b/sec/act#
    1. failover 명령을 구성합니다.
      1. 보조/액티브 방화벽에서는 먼저 액티브 컨피그레이션이 보조/액티브 방화벽에서 새로운 기본 컨피그레이션 기본/스탠바이 방화벽으로 푸시되도록 failover lan unit primary 명령을 설정해야 합니다. 예를 들면 다음과 같습니다.
    firewall-b/sec/act# sh run | inc unit
failover lan unit secondary
firewall-b/sec/act#

firewall-b/sec/act#conf t
firewall-b/sec/act#(config)#failover lan unit primary
firewall-b/sec/act#(config)#exit
firewall-b/sec/act# sh run | inc unit
failover lan unit primary
firewall-b/pri/act#

    b. 두 디바이스 모두에서 장애 조치 컨피그레이션을 검증합니다. 예를 들면 다음과 같습니다.

    firewall-b/pri/act# sh run | inc fail
failover
failover lan unit primary
failover lan interface sync Port-channel1
failover link sync Port-channel1
failover interface ip sync 10.10.13.9 255.255.255.252 standby 10.10.13.10
no failover wait-disable
firewall-b/pri/act# 

firewall-a/sec/stby# sh run | inc fail
no failover
failover lan unit secondary
failover lan interface sync Port-channel1
failover link sync Port-channel1
failover interface ip sync 10.10.13.9 255.255.255.252 standby 10.10.13.10
no failover wait-disable
firewall-a/sec/stby#
    1. 새 기본 방화벽에서 장애 조치를 활성화합니다. 예를 들면 다음과 같습니다.
    firewall-a/sec/stby#conf t
firewall-a/sec/stby#(config)#failover
firewall-a/sec/stby#(config)#exit
firewall-a/sec/stby#

firewall-a/sec/stby# sh run | inc fail
failover
firewall-a/sec/stby#
    1. 활성 컨피그레이션이 새 유닛에 동기화될 때까지 기다렸다가 올바른 장애 조치 상태를 확인합니다. 예를 들면 다음과 같습니다.
    firewall-b/pri/act# 
Beginning configuration replication: Sending to mate.
End Configuration Replication to mate
firewall-b/pri/act# 
firewall-a/sec/stby# 
Beginning configuration replication from mate.
End configuration replication from mate.
firewall-a/sec/stby#
    note-icon

    참고: 기본 방화벽(firewall-b)이 컨피그레이션을 보조 방화벽(firewall-a)으로 전송합니다. 현재 기본/활성 방화벽(firewall-b)에 메모리를 쓰지 마십시오.

    1. 보조/대기 방화벽으로 다시 부팅되도록 현재 기본/활성 방화벽(firewall-b)을 다시 로드합니다.
    firewall-b/pri/act#reload
    1. "firewall-b reload" 명령을 실행한 후(15초 동안 대기) 새 기본 방화벽(firewall-a)으로 전환하고 failover lan unit primary 명령을 입력한 다음 쓰기 메모리 입력합니다.
    firewall-a/sec/act#conf t
firewall-a/sec/act#(config)#failover lan unit primary
firewall-a/sec/act#(config)#exit
firewall-a/sec/act# sh run | inc unit
failover lan unit primary
firewall-a/pri/act# write memory
Building configuration...
Cryptochecksum: ad317407 935a773c 6c5fb66a c5edc342 

64509 bytes copied in 9.290 secs (7167 bytes/sec)
[OK]
firewall-a/pri/act# show start | inc unit
failover lan unit primary
firewall-a/pri/act#
    1. firewall-b가 완전히 부팅될 때까지 기다린 다음 장애 조치 쌍을 보조/스탠바이로 조인합니다. 예를 들면 다음과 같습니다.
    firewall-a/pri/act# 
Beginning configuration replication: Sending to mate.
End Configuration Replication to mate
firewall-a/pri/act# 
firewall-b/sec/stby# 
Beginning configuration replication from mate.
End configuration replication from mate.
firewall-b/sec/stby#
    note-icon

    참고: 기본 방화벽(firewall-a)은 컨피그레이션을 보조 방화벽(firewall-b)으로 전송합니다.

    1. 컨피그레이션을 저장하고, 기본/액티브 메모리에 메모리를 기록하고, 새 보조/스탠바이 메모리의 쓰기 메모리를 확인합니다. 예를 들면 다음과 같습니다.
    firewall-a/pri/act#write memory
Building configuration...
Cryptochecksum: ad317407 935a773c 6c5fb66a c5edc342 

64509 bytes copied in 9.290 secs (7167 bytes/sec)
[OK]
firewall-a/pri/act#

firewall-b/sec/stby# 
May 24 2023 15:16:21 firewall-b : %ASA-5-111001: Begin configuration: console writing to memory
May 24 2023 15:16:22 firewall-b : %ASA-5-111004: console end configuration: OK
May 24 2023 15:16:22 firewall-b : %ASA-5-111008: User 'failover' executed the 'write memory' command.
May 24 2023 15:16:22 firewall-b : %ASA-5-111010: User 'failover', running 'N/A' from IP x.x.x.x , executed 'write memory'
firewall-b/sec/stby#
    1. 두 방화벽에서 장애 조치 쌍이 작동/작동 중인지 확인합니다. 예를 들면 다음과 같습니다.
    firewall-a/pri/act# show failover 
Failover On 
Failover unit Primary
Failover LAN Interface: sync Port-channel1 (up)
Reconnect timeout 0:00:00
Unit Poll frequency 1 seconds, holdtime 15 seconds
Interface Poll frequency 5 seconds, holdtime 25 seconds
Interface Policy 1
Monitored Interfaces 0 of 1292 maximum
MAC Address Move Notification Interval not set
Version: Ours 9.12(4)56, Mate 9.12(4)56
Serial Number: Ours JADSERIAL1, Mate JADSERIAL2
Last Failover at: 19:54:29 GMT May 23 2023
	This host: Primary - Active 
		Active time: 71564 (sec)
		slot 0: FPR-2110 hw/sw rev (49.46/9.12(4)56) status (Up Sys)
		  Interface inside (10.0.0.1): Normal (Not-Monitored)
		  Interface outside (10.1.1.1): Normal (Not-Monitored)
		  Interface management (10.2.2.1): Normal (Not-Monitored)
	Other host: Secondary - Standby Ready 
		Active time: 0 (sec)
		slot 0: FPR-2110 hw/sw rev (49.46/9.12(4)56) status (Up Sys)
		  Interface inside (10.0.0.2): Normal (Not-Monitored)
		  Interface outside (10.1.1.2): Normal (Not-Monitored)
		  Interface management (10.2.2.2): Normal (Not-Monitored)

firewall-b/sec/stby# show failover 
Failover On 
Failover unit Secondary
Failover LAN Interface: sync Port-channel1 (up)
Reconnect timeout 0:00:00
Unit Poll frequency 1 seconds, holdtime 15 seconds
Interface Poll frequency 5 seconds, holdtime 25 seconds
Interface Policy 1
Monitored Interfaces 0 of 1292 maximum
MAC Address Move Notification Interval not set
Version: Ours 9.12(4)56, Mate 9.12(4)56
Serial Number: Ours JADSERIAL2, Mate JADSERIAL1
Last Failover at: 20:51:27 GMT May 23 2023
	This host: Secondary - Standby Ready 
		Active time: 0 (sec)
		slot 0: FPR-2110 hw/sw rev (49.46/9.12(4)56) status (Up Sys)
		  Interface inside (10.0.0.2): Normal (Not-Monitored)
		  Interface outside (10.1.1.2): Normal (Not-Monitored)
		  Interface management (10.2.2.2): Normal (Not-Monitored)
	Other host: Primary - Active 
		Active time: 71635 (sec)
		slot 0: FPR-2110 hw/sw rev (49.46/9.12(4)56) status (Up Sys)
		  Interface inside (10.0.0.1: Normal (Not-Monitored)
		  Interface outide (10.1.1.1): Normal (Not-Monitored)
		  Interface management (10.2.2.1): Normal (Not-Monitored)

    개정 이력

    개정 게시 날짜 의견
    2.0
    01-Nov-2024
    주로 서식을 지정합니다.
    1.0
    21-Jun-2023
    최초 릴리스
    TAC Authored

    Cisco 엔지니어가 작성

    • 로젤리오 산체스 누네즈
      Cisco TAC 엔지니어

    이 문서가 도움이 되셨습니까?

    Feedback피드백

    지원 문의

    이 문서가 적용되는 제품