查看完整版本: Failover&HSRP

coldface 2008-5-7 16:52

Failover&HSRP

[attach]207296[/attach]

(一)        简介:
两台Cisco ASA5520(带IPS功能),两台Cisco 3560G-24TS。
Cisco ASA5520拥有4个10/100/1000以太网口,1个10/100以太网口。
(二)        要求:
在两ASA之间和两3560之间做冗余。
(IP地址如上图所示)
(三)        配置:
ASA-1:
interface Ethernet0/0
nameif outside
security-level 0
ip address 218.105.64.66 255.255.255.240 standby 218.105.64.67
!
interface Ethernet0/1
nameif inside
security-level 100
ip address 192.168.1.1 255.255.255.0 standby 192.168.1.2

interface Ethernet0/2
nameif DMZ
security-level 50
ip address 192.168.110.1 255.255.255.0 standby 192.168.110.2

!
interface Ethernet0/3
description LAN/STATE Failover Interface

failover
failover lan unit primary
failover lan interface failover Ethernet0/3
failover link failover Ethernet0/3
failover interface ip failover 10.1.0.1 255.255.255.252 standby 10.1.0.2


ASA-2:
interface Ethernet0/0
nameif outside
security-level 0
ip address 218.105.64.66 255.255.255.240
!
interface Ethernet0/1
nameif inside
security-level 100
ip address 192.168.1.2 255.255.255.0
!
interface Ethernet0/2
nameif DMZ
security-level 50
ip address 192.168.110.2 255.255.255.0

interface Ethernet0/3
description LAN Failover Interface
!
failover
failover lan unit secondary
failover lan interface failover Ethernet0/3
failover interface ip failover 10.1.0.2 255.255.255.252 standby 10.1.0.1

Cisco 3560G-1:


interface gigabitethernet0/1
no switchport
ip address 192.168.1.3 255.255.255.0
standby 1 ip 192.168.1.5
standby 1 priority 110
standby 1 preempt
standby 2 ip 192.168.1.6
standby 2 preempt
Cisco 3560G-2:

interface gigabitethernet0/1
no switchport
ip address 192.168.1.4 255.255.255.0
standby 1 ip 192.168.1.5
standby 1 preempt
standby 2 ip 192.168.1.6
standby 2 priority 110
standby 2 preempt
问题:
1.        上述配置中只应用了ASA5个接口中的4个,如果是严格按照上述拓扑(包含绿色虚线部分),那5个接口是刚好。假如是做全互连结构(假定剩下的接口为E0/4),那对于内网来说同一防火墙上就有2个Inside,疑问是:E0/4的failover与E0/1(当前口)配置是一样么?
自己考虑了下,假如ASA-1的E0/1接口down掉了,那standby的接口会是ASA-2的E0/1接口,而不是ASA-1的E0/4口,所以感觉及时是全互连结构,用处不大,不知道理解的是否正确。

2.        3560的HSRP配置中,两设备之间的互连线(Gi0/20和Gi0/21)接口需要做什么样的配置?
个人理解防火墙之间做Failover后,当用网线互连后,只要在主防火墙上配置完毕,那配置会自动同步到备用防火墙上。对于两3560之间只是做Trunk和VTP domain就足够了么?

minglei226 2008-5-7 17:04

ASA能发一个模拟软件来吗?

coldface 2008-5-7 17:25

只有未到货的真设备,没有模拟软件!

coldface 2008-5-8 17:56

只有看得没有给点意见的么

good-g 2008-5-8 22:02

这拿什么软件可以试一下 ,请指教

白胡子 2008-5-17 20:27

asa可以用pemu模拟,我正在玩,不过现阶段是在模拟软件,而非硬件,很多功能可以配置,但是看不到效果D,呵呵,不过也快了
failover的话,可以模拟pix做lan的failover,这个可以模拟出来的,不一定要用asa

柳遮杨后 2008-6-4 09:11

还不错
页: [1]
查看完整版本: Failover&HSRP