La gamme ASA de chez Cisco propose un fonctionnement intéressant dès son plus petit modèle, le 5505 qui permet de créer rapidement et efficacement une topologie active – passive fonctionnelle. Le principe est simple, le contexte qui est mis en place sur une unité qui sera déclarée comme primaire est répliqué sur l’unité déclaré comme passive, et lorsque le nominal tombe, le passif reprend intégralement le contexte du primaire.
Nous allons prendre ici une configuration relativement simple, pour vous exposer le mode de configuration. Soit un ASA de base avec deux interfaces, une inside et une outside paramétrée comme ceci :
interface Ethernet0/0
nameif outside
security-level 0
ip address 1.1.1.1 255.255.255.0 standby 1.1.1.2
no shut
!
interface Ethernet0/1
nameif inside
security-level 100
ip address 10.0.0.1 255.255.255.0 standby 10.0.0.2
no shut
!
nameif outside
security-level 0
ip address 1.1.1.1 255.255.255.0 standby 1.1.1.2
no shut
!
interface Ethernet0/1
nameif inside
security-level 100
ip address 10.0.0.1 255.255.255.0 standby 10.0.0.2
no shut
!
La première chose que vous avez probablement notifié est la présence du mot clé standby, qui permet de définir l’adresse IP affectée au noeud secondaire lorsqu’il est en mode passif.
Regardons maintenant de plus près la configuration de l’unité principale :
failover
failover lan unit primary
failover lan interface failoverlink Ethernet0/7
failover key *****
failover link failover Ethernet0/7
failover interface ip failover 192.168.1.1 255.255.255.0 standby 192.168.1.2
failover lan unit primary
failover lan interface failoverlink Ethernet0/7
failover key *****
failover link failover Ethernet0/7
failover interface ip failover 192.168.1.1 255.255.255.0 standby 192.168.1.2
- La commande failover permet simplement d’activer ce mode sur notre ASA.
- La commande failover lan unit primary indique à l’ASA qu’il doit être le primaire lorsqu’il échange avec l’autre unité.
- La commande failover lan interface failoverlink Ethernet0/7 indique le lien qui sera utilisé pour les échanges liés au failover entre l’unité primaire et la secondaire. Il s’agit donc ici de l’interface Ethernet 0/7 nous interconnecterons directement nos deux ASA. Le mot failoverlink est simplement le nom de l’interface que nous lui attribuons.
- La commande failover key permet de définir une clé d’authentification entre les deux unités du mode failover
- La commande failover interface ip failover 192.168.1.1 255.255.255.0 standby 192.168.1.2 permet de définir l’adressage utiliser pour les échanges entre les deux unités concernant le failover. Il s’agit donc ici de 192.168.1.1 pour l’unité primaire et de 192.168.1.2 pour la secondaire.
Comme vous venez de le voir, il n’y a pas de difficulté majeure pour l’unité primaire.Maintenant, regardons celle de l’unité secondaire, qui est est encore plus simple :
failover
failover lan unit secondary
failover lan interface failover Ethernet0/7
failover key *****
failover interface ip failover 192.168.1.1 255.255.255.0 standby 192.168.1.2
failover lan unit secondary
failover lan interface failover Ethernet0/7
failover key *****
failover interface ip failover 192.168.1.1 255.255.255.0 standby 192.168.1.2
La seule différence est donc la commande failover lan unit secondary qui spécifie le mode de fonctionnement de notre seconde unité.
Pour vérifier et éventuellement débugguer la configuration, la commande show failover peut s’avérer utile :
ciscoasa(config)# sh failover
Failover On
Failover unit Primary
Failover LAN Interface: failoverlink Ethernet0/7 (up)
Unit Poll frequency 1 seconds, holdtime 15 seconds
Interface Poll frequency 5 seconds, holdtime 25 seconds
Interface Policy 1
Monitored Interfaces 2 of 250 maximum
Version: Ours 7.2(2), Mate 7.2(2)
Last Failover at: 11:24:53 UTC Dec 1 2009
This host: Primary – Active
Active time: 1214 (sec)
slot 0: ASA5510 hw/sw rev (1.1/7.2(2)) status (Up Sys)
Interface outside (1.1.1.1): Normal
Interface inside (10.0.0.1): Normal
slot 1: empty
Other host: Secondary – Standby Ready
Active time: 871 (sec)
slot 0: ASA5510 hw/sw rev (1.1/7.2(2)) status (Up Sys)
Interface outside (1.1.1.1): Normal
Interface inside (10.0.0.1): Normal
slot 1: empty
!
Stateful Failover Logical Update Statistics
Link : failover Ethernet0/3 (up)
Stateful Obj xmit xerr rcv rerr
General 1278 0 1256 0
sys cmd 4212 0 2352 0
up time 0 0 0 0
RPC services 0 0 0 0
TCP conn 0 0 0 0
UDP conn 0 0 0 0
ARP tbl 226 0 2 0
Xlate_Timeout 0 0 0 0
VPN IKE upd 0 0 0 0
VPN IPSEC upd 0 0 0 0
VPN CTCP upd 0 0 0 0
VPN SDI upd 0 0 0 0
VPN DHCP upd 0 0 0 0
!
Logical Update Queue Information
Cur Max Total
Recv Q: 0 2 3292
Xmit Q: 0 2 19308
Failover On
Failover unit Primary
Failover LAN Interface: failoverlink Ethernet0/7 (up)
Unit Poll frequency 1 seconds, holdtime 15 seconds
Interface Poll frequency 5 seconds, holdtime 25 seconds
Interface Policy 1
Monitored Interfaces 2 of 250 maximum
Version: Ours 7.2(2), Mate 7.2(2)
Last Failover at: 11:24:53 UTC Dec 1 2009
This host: Primary – Active
Active time: 1214 (sec)
slot 0: ASA5510 hw/sw rev (1.1/7.2(2)) status (Up Sys)
Interface outside (1.1.1.1): Normal
Interface inside (10.0.0.1): Normal
slot 1: empty
Other host: Secondary – Standby Ready
Active time: 871 (sec)
slot 0: ASA5510 hw/sw rev (1.1/7.2(2)) status (Up Sys)
Interface outside (1.1.1.1): Normal
Interface inside (10.0.0.1): Normal
slot 1: empty
!
Stateful Failover Logical Update Statistics
Link : failover Ethernet0/3 (up)
Stateful Obj xmit xerr rcv rerr
General 1278 0 1256 0
sys cmd 4212 0 2352 0
up time 0 0 0 0
RPC services 0 0 0 0
TCP conn 0 0 0 0
UDP conn 0 0 0 0
ARP tbl 226 0 2 0
Xlate_Timeout 0 0 0 0
VPN IKE upd 0 0 0 0
VPN IPSEC upd 0 0 0 0
VPN CTCP upd 0 0 0 0
VPN SDI upd 0 0 0 0
VPN DHCP upd 0 0 0 0
!
Logical Update Queue Information
Cur Max Total
Recv Q: 0 2 3292
Xmit Q: 0 2 19308
Enfin, il existe quelques commandes qui peuvent s’avérer bien utiles. La commande failover active permet par exemple de forcer le passage d’un noeud passif entre actif. Pour l’opération inverse, il suffit de faire unno failover active. Vous pouvez aussi procéder au redémarrage de l’unité standby via la commande failover reload-standby. Le dernier point de configuration sur lequel il peut être intéressant de se pencher concerne la configuration du monitoring des interfaces conditionnant la bascule de failover. Il serait un peu plus long de détailler l’ensemble des commandes disponibles, c’est pour cela que je vous invite à consulter la documentation Cisco concernant les commandes de failover disponibles, consultable ici :
Aucun commentaire:
Enregistrer un commentaire