Contents

ASA Firewall 이중화 (Failover)

   Mar 10, 2023     4 min read

이중화 기본 구성

사진첨부

방법

vIOS5)

router ospf 1
default-information originate always



ASA)

policy-map global_policy
class inspection_default
inspect icmp

service-policy global_policy global



ASA1)

router ospf 1
network 1.1.12.1 255.255.255.255 area 0
network 192.168.10.254 255.255.255.255 area 0



ASA2)

router ospf 1
network 1.1.12.2 255.255.255.255 area 0
network 192.168.10.253 255.255.255.255 area 0



해결 방법 01

  • Static Route 구성

vIOS6)

ip route 192.168.10.1 255.255.255.255 g0/0 1.1.12.1
ip route 192.168.10.2 255.255.255.255 g0/0 1.1.12.2



  • 결과

사진첨부

사진첨부
각각의 PC에서 192.168.20.1로 pinf이 되면 된다.

해결 방법 02

vIOS6)

access-list 100 permit ip any host 192.168.10.1
access-list 101 permit ip any host 192.168.10.2

route-map PBR_PATH permit 10
match ip address 100
set ip next-hop 1.1.12.1

route-map PBR_PATH permit 20
match ip address 101
set ip next-hop 1.1.12.2

interface g0/1
ip policy route-map PBR_PATH



  • 결과
  • ping될 수도 있고 안 될 수도 있음.
  • 이유는 Asymmetric Routing (비대칭 라우팅) 때문임. 비대칭 라우팅은 요청 패킷과 응답 패킷의 전송 경로가 서로 다른 경우를 의미한다.
  • Router를 사용하는 경우에는 비대칭 라우팅이 문제가 되지 않는다. 하지만 Firewall /NAT/VPN 등 Session을 인지하여 처리하는 경우에는 반드시 요청과 응답 패킷의 전송 경로가 서로 일치해야 한다.

Step 01. Active/Standby

사진첨부

방법

ASA1, 2)

clear configure all



ASA1)

host name ASA-1
enable password cisco123

int e0
nameif inside
security-level 100
ip add 192.168.10.254 255.255.255.0 standby 192.168.10.253
no shutdown

int e1
nameif outside
security-level 0
ip add 1.1.12.1 255.255.255.0 standby 1.1.12.2
no shutdown

router ospf 1
network 1.1.12.1 255.255.255.255 area 0

object network inside_net
subnet 192.168.10.0 255.255.255.0
nat (inside,outside) dynamic interface

int e2
no shutdown

failover lan unit primary
failover lan interface FL e2
failover interface ip FL 10.1.1.1 255.255.255.252 standby 10.1.1.2
failover link FL e2
failover key cisco321
failover



ASA2)

hostname ASA-2
enable password cico123

int e0
no shutdown

int e1
no shutdown

int e2
no shutdown

failover lan uni secondary
failover lan interface FL e2
failover interface ip FL 10.1.1.1 255.255.255.252 standby 10.1.1.2
failover key cisco321
failover



  • failover lan interface FL e2 : 링크의 이름 설정, 이중화 링크로 쓰기
  • failover link FL e2 : Primary 장비만 입력 (Stateful 이중화 처리)

결과 - # show int ip brief

사진첨부
ASA2에 주소가 자동으로 들어간 것을 확인할 수 있다.

사진첨부

사진첨부
PC에서 둘 다 ping이 간다.

Step 02.

  • # step failover

사진첨부

사진첨부

결과

사진첨부

Step 03.

  • #show ospf neighbor

결과

사진첨부

Step 04. 역할 바꾸기

  • Active와 Standby 장비 역할 바꾸기
  • Active 와 Standby 장비의 역할이 바뀌는 상황
    1.HW 장애 발생 시
    2.SW 장애 발생 시
    3.Monitor 인터페이스에 장애 발생 시
    4.관리자가 [failover active] 명령어를 사용하는 경우

방법

ASA2)

(config)# failover active



결과

사진첨부

사진첨부

사진첨부

Step 05.

사진첨부

  • Interface 장애 발생시 Active/Standby 역할 변경을 확인하기 위해서는 ASA의 interface를 shutdown시키는 것이 아니라, 해당 interface와 연결된 상대방 장비의 interface를 shutdown 시켜야 한다. (명령어가 동기화 되기 때문이다.)

Step 06.

  • 재부팅 순서 ASA 2 -> ASA 1

  • Active/Standby 장비의 설정을 저장하고 장비를 재부팅할 경우 failover Primary, Secondary와 상관 없이 먼저 재부팅이 완료된 장비가 Active 역할을 수행하고, 나중에 완료된 장비가 Standby 역할을 수행한다.

결과

사진첨부

사진첨부
ASA 2를 먼저 재부팅했더니 Active 가 되었다.

사진첨부