إستبدال جدار حماية ASA في زوج تجاوز الفشل النشط/الاحتياطي
المقدمة
يوضح هذا المستند كيفية إستبدال جدار حماية جهاز الأمان القابل للتكيف (ASA) بزوج تجاوز الفشل النشط/الاحتياطي.
معلومات أساسية
تدعم جدران حماية ASA تكوينين لتجاوز الفشل وتجاوز الفشل النشط/النشط وتجاوز الفشل في وضع الاستعداد/النشط.
هناك حائطان للحريق:
- جدار الحماية A أساسي/نشط
- جدار الحماية -b ثانوي/في وضع الاستعداد
الفرق بين الوحدات الأساسية والثانوية في تكوين تجاوز الفشل
هذا الأمر يعني أن جدار الحماية هذا يدفع التكوين النشط دائما إلى جدار الحماية الثانوي.
# failover lan unit primaryيعني هذا الأمر أن جدار الحماية هذا يستقبل دائما التكوين النشط من جدار الحماية الأساسي.
# failover lan unit secondary الفرق بين الوحدات النشطة والوحدات الاحتياطية في تكوين تجاوز الفشل
يعني هذا الأمر أن جدار الحماية هذا هو جدار الحماية النشط الجاري تشغيله في زوج تجاوز الفشل.
# failover activeهذا الأمر يعني أن جدار الحماية هذا هو وضع الاستعداد الذي يشغل جدار حماية في زوج تجاوز الفشل.
# failover standbyإستبدال فشل جدار الحماية الثانوي
1. تحقق من أن جدار الحماية الأساسي نشط ومتصل. على سبيل المثال:
firewall-a/pri/act# show failover
Failover On
Failover unit Primary
Failover LAN Interface: sync Port-channel1 (up)
Reconnect timeout 0:00:00
Unit Poll frequency 1 seconds, holdtime 15 seconds
Interface Poll frequency 5 seconds, holdtime 25 seconds
Interface Policy 1
Monitored Interfaces 0 of 1292 maximum
MAC Address Move Notification Interval not set
Version: Ours 9.12(4)56, Mate 9.12(4)56
Serial Number: Ours JADSERIAL1, Mate JADSERIAL2
Last Failover at: 19:54:29 GMT May 23 2023
This host: Primary - Active
Active time: 2204 (sec)
slot 0: FPR-2110 hw/sw rev (49.46/9.12(4)56) status (Up Sys)
Interface inside (10.0.0.1): Normal (Not-Monitored)
Interface outside (10.1.1.1): Normal (Not-Monitored)
Interface management (10.2.2.1): Normal (Not-Monitored)
Other host: Secondary - Failed
Active time: 0 (sec)
slot 0: FPR-2110 hw/sw rev (49.46/9.12(4)56) status (Up Sys)
Interface inside (10.0.0.2): Normal (Not-Monitored)
Interface outside (10.1.1.2): Normal (Not-Monitored)
Interface management (10.2.2.2): Normal (Not-Monitored)2. قم بإيقاف تشغيل جدار الحماية الثانوي وإزالته فيزيائيا.
3. أضف جدار الحماية الثانوي الجديد فعليا وقم بتشغيله.
4. بمجرد تنشيط جدار الحماية الثانوي الجديد باستخدام تكوين المصنع الافتراضي، قم بتمكين إرتباط تجاوز الفشل،no shutdownالارتباط المادي لتجاوز الفشل.
مثال:
firewall-a/pri/act#conf t
firewall-a/pri/act#(config)#interface Port-channel1
firewall-a/pri/act#(config-if)#no shutdown
firewall-a/pri/act#(config)#exit
firewall-a/pri/act#
firewall-b/sec/stby#conf t
firewall-b/sec/stby#(config)#interface Port-channel1
firewall-b/sec/stby#(config-if)#no shutdown
firewall-b/sec/stby#(config)#exit
firewall-b/sec/stby#5. تكوين أوامر تجاوز الفشل. على سبيل المثال:
firewall-a/pri/act# sh run | inc fail
failover
failover lan unit primary
failover lan interface sync Port-channel1
failover link sync Port-channel1
failover interface ip sync 10.10.13.9 255.255.255.252 standby 10.10.13.10
no failover wait-disable
firewall-a/pri/act#
firewall-b/sec/stby# sh run | inc fail
no failover
failover lan unit secondary
failover lan interface sync Port-channel1
failover link sync Port-channel1
failover interface ip sync 10.10.13.9 255.255.255.252 standby 10.10.13.10
no failover wait-disable
firewall-b/sec/stby# 6. تمكين تجاوز الفشل على جدار الحماية الثانوي الجديد. على سبيل المثال:
firewall-b/sec/stby#conf t
firewall-b/sec/stby#(config)#failover
firewall-b/sec/stby#(config)#exit
firewall-b/sec/stby#
firewall-b/sec/stby# sh run | inc fail
failover
firewall-b/sec/stby#7. انتظر حتى تتم مزامنة التكوين النشط مع الوحدة الجديدة وتحقق من حالة تجاوز الفشل الصحيحة. على سبيل المثال:
firewall-a/pri/act#
Beginning configuration replication: Sending to mate.
End Configuration Replication to mate
firewall-a/pri/act#
firewall-b/sec/stby#
Beginning configuration replication from mate.
End configuration replication from mate.
firewall-b/sec/stby#
ملاحظة: لاحظ أن جدار الحماية الأساسي (جدار الحماية-أ) يرسل التكوين إلى جدار الحماية الثانوي (جدار الحماية-b).
8. احفظ التكوين على الأساسي/النشط وتحقق من صحة ذاكرة الكتابة على الثانوي/الاحتياطي الجديد. على سبيل المثال:
firewall-a/pri/act#write memory
Building configuration...
Cryptochecksum: ad317407 935a773c 6c5fb66a c5edc342
64509 bytes copied in 9.290 secs (7167 bytes/sec)
[OK]
firewall-a/pri/act#
firewall-b/sec/stby#
May 24 2023 15:16:21 firewall-b : %ASA-5-111001: Begin configuration: console writing to memory
May 24 2023 15:16:22 firewall-b : %ASA-5-111004: console end configuration: OK
May 24 2023 15:16:22 firewall-b : %ASA-5-111008: User 'failover' executed the 'write memory' command.
May 24 2023 15:16:22 firewall-b : %ASA-5-111010: User 'failover', running 'N/A' from IP x.x.x.x , executed 'write memory'
firewall-b/sec/stby#9. تحقق من أن زوج تجاوز الفشل نشط لأعلى/لأعلى على كل من جدران الحماية. على سبيل المثال:
firewall-a/pri/act# show failover
Failover On
Failover unit Primary
Failover LAN Interface: sync Port-channel1 (up)
Reconnect timeout 0:00:00
Unit Poll frequency 1 seconds, holdtime 15 seconds
Interface Poll frequency 5 seconds, holdtime 25 seconds
Interface Policy 1
Monitored Interfaces 0 of 1292 maximum
MAC Address Move Notification Interval not set
Version: Ours 9.12(4)56, Mate 9.12(4)56
Serial Number: Ours JADSERIAL1, Mate JADSERIAL2
Last Failover at: 19:54:29 GMT May 23 2023
This host: Primary - Active
Active time: 71564 (sec)
slot 0: FPR-2110 hw/sw rev (49.46/9.12(4)56) status (Up Sys)
Interface inside (10.0.0.1): Normal (Not-Monitored)
Interface outside (10.1.1.1): Normal (Not-Monitored)
Interface management (10.2.2.1): Normal (Not-Monitored)
Other host: Secondary - Standby Ready
Active time: 0 (sec)
slot 0: FPR-2110 hw/sw rev (49.46/9.12(4)56) status (Up Sys)
Interface inside (10.0.0.2): Normal (Not-Monitored)
Interface outside (10.1.1.2): Normal (Not-Monitored)
Interface management (10.2.2.2): Normal (Not-Monitored)
firewall-b/sec/stby# show failover
Failover On
Failover unit Secondary
Failover LAN Interface: sync Port-channel1 (up)
Reconnect timeout 0:00:00
Unit Poll frequency 1 seconds, holdtime 15 seconds
Interface Poll frequency 5 seconds, holdtime 25 seconds
Interface Policy 1
Monitored Interfaces 0 of 1292 maximum
MAC Address Move Notification Interval not set
Version: Ours 9.12(4)56, Mate 9.12(4)56
Serial Number: Ours JADSERIAL2, Mate JADSERIAL1
Last Failover at: 20:51:27 GMT May 23 2023
This host: Secondary - Standby Ready
Active time: 0 (sec)
slot 0: FPR-2110 hw/sw rev (49.46/9.12(4)56) status (Up Sys)
Interface inside (10.0.0.2): Normal (Not-Monitored)
Interface outside (10.1.1.2): Normal (Not-Monitored)
Interface management (10.2.2.2): Normal (Not-Monitored)
Other host: Primary - Active
Active time: 71635 (sec)
slot 0: FPR-2110 hw/sw rev (49.46/9.12(4)56) status (Up Sys)
Interface inside (10.0.0.1: Normal (Not-Monitored)
Interface outide (10.1.1.1): Normal (Not-Monitored)
Interface management (10.2.2.1): Normal (Not-Monitored)
إستبدال فشل جدار الحماية الأساسي
- تحقق من أن جدار الحماية الثانوي نشط ومتصل. على سبيل المثال:
firewall-b/sec/act# show failover
Failover On
Failover unit Secondary
Failover LAN Interface: sync Port-channel1 (up)
Reconnect timeout 0:00:00
Unit Poll frequency 1 seconds, holdtime 15 seconds
Interface Poll frequency 5 seconds, holdtime 25 seconds
Interface Policy 1
Monitored Interfaces 0 of 1292 maximum
MAC Address Move Notification Interval not set
Version: Ours 9.12(4)56, Mate 9.12(4)56
Serial Number: Ours JADSERIAL2, Mate JADSERIAL1
Last Failover at: 19:54:29 GMT May 23 2023
This host: Secondary - Active
Active time: 2204 (sec)
slot 0: FPR-2110 hw/sw rev (49.46/9.12(4)56) status (Up Sys)
Interface inside (10.0.0.1): Normal (Not-Monitored)
Interface outside (10.1.1.1): Normal (Not-Monitored)
Interface management (10.2.2.1): Normal (Not-Monitored)
Other host: Primary - Failed
Active time: 0 (sec)
slot 0: FPR-2110 hw/sw rev (49.46/9.12(4)56) status (Up Sys)
Interface inside (10.0.0.2): Normal (Not-Monitored)
Interface outside (10.1.1.2): Normal (Not-Monitored)
Interface management (10.2.2.2): Normal (Not-Monitored)- قم بإيقاف تشغيل جدار الحماية الأساسي وإزالته ماديا.
- أضف جدار الحماية الأساسي الجديد فعليا وقم بتشغيله.
- والآن، يتم تنشيط جدار الحماية الأساسي الجديد باستخدام تكوين المصنع الافتراضي.
- قم بتمكين إرتباط تجاوز الفشل، لا يوجد إيقاف تشغيل الارتباط المادي لتجاوز الفشل. على سبيل المثال:
firewall-a/pri/stby#conf t
firewall-a/pri/stby#(config)#interface Port-channel1
firewall-a/pri/stby#(config-if)#no shutdown
firewall-a/pri/stby#(config)#exit
firewall-a/pri/stby#
firewall-b/sec/act#conf t
firewall-b/sec/act#(config)#interface Port-channel1
firewall-b/sec/act#(config-if)#no shutdown
firewall-b/sec/act#(config)#exit
firewall-b/sec/act#- حفظ التكوين. اكتب الذاكرة على جدار الحماية الثانوي/النشط وتأكد من أن وحدة تجاوز الفشل الثانوية موجودة في تكوين بدء التشغيل.
مثال:
firewall-b/sec/act# write memory
Building configuration...
Cryptochecksum: ad317407 935a773c 6c5fb66a c5edc342
64509 bytes copied in 9.290 secs (7167 bytes/sec)
[OK]
firewall-b/sec/act# show start | inc unit
failover lan unit secondary
firewall-b/sec/act# - تكوين أوامر تجاوز الفشل.
- في جدار الحماية الثانوي/النشط، يجب عليك أولا تعيين الأمر الأساسي لوحدة تجاوز الفشل على الشبكة المحلية (LAN) لضمان دفع التكوين النشط من جدار الحماية الثانوي/النشط إلى جدار الحماية الافتراضي الجديد للتكوين الأساسي/الاحتياطي. على سبيل المثال:
firewall-b/sec/act# sh run | inc unit
failover lan unit secondary
firewall-b/sec/act#
firewall-b/sec/act#conf t
firewall-b/sec/act#(config)#failover lan unit primary
firewall-b/sec/act#(config)#exit
firewall-b/sec/act# sh run | inc unit
failover lan unit primary
firewall-b/pri/act#
b. التحقق من تكوين تجاوز الفشل على كلا الجهازين. على سبيل المثال:
firewall-b/pri/act# sh run | inc fail
failover
failover lan unit primary
failover lan interface sync Port-channel1
failover link sync Port-channel1
failover interface ip sync 10.10.13.9 255.255.255.252 standby 10.10.13.10
no failover wait-disable
firewall-b/pri/act#
firewall-a/sec/stby# sh run | inc fail
no failover
failover lan unit secondary
failover lan interface sync Port-channel1
failover link sync Port-channel1
failover interface ip sync 10.10.13.9 255.255.255.252 standby 10.10.13.10
no failover wait-disable
firewall-a/sec/stby# - قم بتمكين تجاوز الفشل على جدار الحماية الأساسي الجديد. على سبيل المثال:
firewall-a/sec/stby#conf t
firewall-a/sec/stby#(config)#failover
firewall-a/sec/stby#(config)#exit
firewall-a/sec/stby#
firewall-a/sec/stby# sh run | inc fail
failover
firewall-a/sec/stby#- انتظر حتى تتم مزامنة التكوين النشط إلى الوحدة الجديدة وتحقق من حالة تجاوز الفشل الصحيحة. على سبيل المثال:
firewall-b/pri/act#
Beginning configuration replication: Sending to mate.
End Configuration Replication to mate
firewall-b/pri/act#
firewall-a/sec/stby#
Beginning configuration replication from mate.
End configuration replication from mate.
firewall-a/sec/stby# ملاحظة: لاحظ أن جدار الحماية الأساسي (جدار الحماية-b) يرسل التكوين إلى جدار الحماية الثانوي (جدار الحماية-a). عدم كتابة الذاكرة على جدار الحماية الحالي الأساسي/النشط (جدار الحماية-b).
- قم بإعادة تحميل جدار الحماية الحالي الأساسي/النشط (جدار الحماية-b) حتى يتم تمهيده مرة أخرى ليكون جدار الحماية الثانوي/الاحتياطي.
firewall-b/pri/act#reload- مباشرة بعد تنفيذ الأمر "firewall-b reload" (انتظار 15 ثانية)، قم بالتبديل إلى جدار الحماية الأساسي الجديد (جدار الحماية-A) وأدخل الأمر الأساسي لوحدة معالجة الأعطال المحلية، متبوعا بذاكرة كتابة.
firewall-a/sec/act#conf t
firewall-a/sec/act#(config)#failover lan unit primary
firewall-a/sec/act#(config)#exit
firewall-a/sec/act# sh run | inc unit
failover lan unit primary
firewall-a/pri/act# write memory
Building configuration...
Cryptochecksum: ad317407 935a773c 6c5fb66a c5edc342
64509 bytes copied in 9.290 secs (7167 bytes/sec)
[OK]
firewall-a/pri/act# show start | inc unit
failover lan unit primary
firewall-a/pri/act# - انتظر حتى يتم تحميل جدار الحماية B بالكامل والانضمام إلى زوج تجاوز الأعطال على أنه ثانوي/في وضع الاستعداد. على سبيل المثال:
firewall-a/pri/act#
Beginning configuration replication: Sending to mate.
End Configuration Replication to mate
firewall-a/pri/act#
firewall-b/sec/stby#
Beginning configuration replication from mate.
End configuration replication from mate.
firewall-b/sec/stby# ملاحظة: يرجى ملاحظة أن جدار الحماية الأساسي (جدار الحماية-أ) يرسل التكوين إلى جدار الحماية الثانوي (جدار الحماية-b).
- قم بحفظ التكوين، وكتابة الذاكرة على الأساسي/النشط، والتحقق من صحة ذاكرة الكتابة على الثانوي/الاحتياطي الجديد. على سبيل المثال:
firewall-a/pri/act#write memory
Building configuration...
Cryptochecksum: ad317407 935a773c 6c5fb66a c5edc342
64509 bytes copied in 9.290 secs (7167 bytes/sec)
[OK]
firewall-a/pri/act#
firewall-b/sec/stby#
May 24 2023 15:16:21 firewall-b : %ASA-5-111001: Begin configuration: console writing to memory
May 24 2023 15:16:22 firewall-b : %ASA-5-111004: console end configuration: OK
May 24 2023 15:16:22 firewall-b : %ASA-5-111008: User 'failover' executed the 'write memory' command.
May 24 2023 15:16:22 firewall-b : %ASA-5-111010: User 'failover', running 'N/A' from IP x.x.x.x , executed 'write memory'
firewall-b/sec/stby# - تحقق من أن زوج تجاوز الفشل نشط لأعلى/لأعلى على كل من جدران الحماية. على سبيل المثال:
firewall-a/pri/act# show failover
Failover On
Failover unit Primary
Failover LAN Interface: sync Port-channel1 (up)
Reconnect timeout 0:00:00
Unit Poll frequency 1 seconds, holdtime 15 seconds
Interface Poll frequency 5 seconds, holdtime 25 seconds
Interface Policy 1
Monitored Interfaces 0 of 1292 maximum
MAC Address Move Notification Interval not set
Version: Ours 9.12(4)56, Mate 9.12(4)56
Serial Number: Ours JADSERIAL1, Mate JADSERIAL2
Last Failover at: 19:54:29 GMT May 23 2023
This host: Primary - Active
Active time: 71564 (sec)
slot 0: FPR-2110 hw/sw rev (49.46/9.12(4)56) status (Up Sys)
Interface inside (10.0.0.1): Normal (Not-Monitored)
Interface outside (10.1.1.1): Normal (Not-Monitored)
Interface management (10.2.2.1): Normal (Not-Monitored)
Other host: Secondary - Standby Ready
Active time: 0 (sec)
slot 0: FPR-2110 hw/sw rev (49.46/9.12(4)56) status (Up Sys)
Interface inside (10.0.0.2): Normal (Not-Monitored)
Interface outside (10.1.1.2): Normal (Not-Monitored)
Interface management (10.2.2.2): Normal (Not-Monitored)
firewall-b/sec/stby# show failover
Failover On
Failover unit Secondary
Failover LAN Interface: sync Port-channel1 (up)
Reconnect timeout 0:00:00
Unit Poll frequency 1 seconds, holdtime 15 seconds
Interface Poll frequency 5 seconds, holdtime 25 seconds
Interface Policy 1
Monitored Interfaces 0 of 1292 maximum
MAC Address Move Notification Interval not set
Version: Ours 9.12(4)56, Mate 9.12(4)56
Serial Number: Ours JADSERIAL2, Mate JADSERIAL1
Last Failover at: 20:51:27 GMT May 23 2023
This host: Secondary - Standby Ready
Active time: 0 (sec)
slot 0: FPR-2110 hw/sw rev (49.46/9.12(4)56) status (Up Sys)
Interface inside (10.0.0.2): Normal (Not-Monitored)
Interface outside (10.1.1.2): Normal (Not-Monitored)
Interface management (10.2.2.2): Normal (Not-Monitored)
Other host: Primary - Active
Active time: 71635 (sec)
slot 0: FPR-2110 hw/sw rev (49.46/9.12(4)56) status (Up Sys)
Interface inside (10.0.0.1: Normal (Not-Monitored)
Interface outide (10.1.1.1): Normal (Not-Monitored)
Interface management (10.2.2.1): Normal (Not-Monitored)محفوظات المراجعة
| المراجعة | تاريخ النشر | التعليقات |
|---|---|---|
2.0 |
01-Nov-2024 |
التنسيق غالبا. |
1.0 |
21-Jun-2023 |
الإصدار الأولي |
التعليقات