Accueil Guides de Configuration Cisco Firewall ASA Cisco ASA – Failover Active / Standby

Cisco ASA – Failover Active / Standby

Posté le 26 novembre 2016 par Valentin Weber 1 commentaire ↓

La fonctionnalité Failover permet de coupler deux ASA pour des questions de redondance. En mode Active / Standby, l’un est Active et prend en charge le trafic, alors que l’autre est en Standby au cas où le premier tombe.

Le Standby ne prend pas de trafic en charge. Il possède une configuration identique à celle de l’ASA Active (la configuration est automatiquement répliquée).

De plus, les états des connexions en cours sont répliqués sur le deuxième ASA. De cette manière, si l’Active tombe, le Standby peut prendre le relais sans interrompre les connexions ouvertes. Bien entendu, le Standby reprend l’adresse IP de l’Active.

Il est aussi possible de monitorer une interface. Si cette dernière tombe sur l’ASA Active, le Standby peut prendre le relais.

 

Configuration

 

La configuration n’est pas compliquée en soit. Il suffit simplement de respecter les prérequis et de faire les choses dans l’ordre.

 

Les prérequis sont les suivants :

  • Même modèle d’ASA (deux fois un 5510, deux fois un 5520, etc…)
  • Même matériel (nombre et type d’interface, RAM, Flash)
  • Même version d’OS
  • Même mode d’opération (Routed ou Transparent, Simple ou Multiple Context)
  • Même niveau de licence
  • Licence permettant le Failover

Il est ensuite nécessaire mettre en place un lien dédié au Failover entre les deux ASA. Ce lien est alors réservé au dialogue lié au Failover et à la réplication des états de session.

 

Le schéma de l’infrastructure utilisée pour la démonstration est le suivant.

memo-cisco-asa-configuration-failover-image-0

La partie Outside n’est pas exploitée dans la démonstration.

 

Note : sur les captures qui vont suivirent, vous pouvez voir de quel ASA il s’agit grâce à la fenêtre Devices List en haut à gauche.

La configuration initiale des interfaces est la suivante.

 

ASA 1

memo-cisco-asa-configuration-failover-image-1

 

ASA 2

memo-cisco-asa-configuration-failover-image-2

Vous noterez que l’interface Gb3 n’est pas encore configurée. De plus, elle est désactivée.

 

Pour commencer la configuration du Failover, il faut se rendre sur l’ASA 1, et remplir les champs comme suit.

 

ASA 1

memo-cisco-asa-configuration-failover-image-3

Voici quelques explications :

  • La Shared Key doit être la même sur les deux ASAs.
  • L’interface est celle qui sera dédié au Failover. Elle n’est pour l’instant ni configurée ni activée.
  • L’IP Active sera l’IP de l’ASA Active sur le lien dédié au Failover. L’IP Standby sera l’IP de l’ASA Standby sur le lien dédié au Failover.
  • Le Prefered Role permet de choisir quel ASA doit être l’Active en temps normal.

 

Il faut ensuite configurer la partie interface.

memo-cisco-asa-configuration-failover-image-4

Ici nous avons choisi de monitorer l’interface Inside. C’est à dire que si cette interface vient à tomber, l’ASA Standby prendra le relais.

L’Active IP correspond à l’IP que va porter l’ASA Active. L’IP Standby correspond à l’IP que va porter l’ASA Standby (il ne faut surtout pas oublier ce paramètre).

En temps normal, les deux ASA seront joignables sur leur IP respective.

 

Si l’ASA Active tombe, le Standby prend le relais et devient Active à son tour. Il est alors joignable sur l’IP Active (ici 10.0.99.254).

 

Enfin, il est possible de choisir les critères qui doivent être respectés pour que l’ASA Standby prenne le relais.

memo-cisco-asa-configuration-failover-image-5

Ici il suffit qu’une interface tombe pour que la bascule se fasse.

 

Il est maintenant possible d’appliquer les paramètres.

Si cet écran apparait, il est possible de l’ignorer.

memo-cisco-asa-configuration-failover-image-9

 

A présent il faut configurer le deuxième ASA.

ASA 2

memo-cisco-asa-configuration-failover-image-6

Les paramètres du premier écran sont presque identiques à ceux du premier ASA. Sauf qu’ici le Prefered Role est à Standby.

 

L’écran Interfaces se configure comme ceci.

memo-cisco-asa-configuration-failover-image-7

Quant à l’écran Criteria.

memo-cisco-asa-configuration-failover-image-8

Il est alors possible d’appliquer les paramètres.

 

Si cet écran apparait, il est possible de l’ignorer.

memo-cisco-asa-configuration-failover-image-9

A présent les configurations vont se synchroniser entre les deux ASA.

Si vous avez la console ouverte, vous verrez des messages en relation avec la réplication apparaitre.

 

Il est possible qu’il soit nécessaire de relancer l’ASDM.

 

Vous pouvez à présent consulter l’état du Failover sur chaque ASA en vous rendant dans l’écran suivant.

ASA 2 – Standby

memo-cisco-asa-configuration-failover-image-10

 

ASA 1 – Active

memo-cisco-asa-configuration-failover-image-11

 

Pour le moment il est possible de joindre les deux ASA sur leur IP respective (10.0.1.254 et 10.0.1.253).

L’ASA 1 est Active. L’ASA 2 est Standby.

 

Si l’interface Inside de l’ASA 1 tombe, l’ASA 2 devient Active.

 

Dans la console des ASA, les messages suivants apparaissent.

ASA 1

memo-cisco-asa-configuration-failover-image-12

 

ASA 2

memo-cisco-asa-configuration-failover-image-13

Il est alors possible de se connecter avec l’ASDM sur l’IP Inside de l’ASA Active. C’est alors l’ASA Standby qui répond.

Le statut Failover est le suivant.

memo-cisco-asa-configuration-failover-image-14

L’ASA Secondary est donc devenu Active.

 

Tagués avec : , ,
Publié dans Firewall ASA
Un commentaire pour “Cisco ASA – Failover Active / Standby
  1. taibaoui dit :
    2 juillet 2021 à 18 h 06 min

    merci beaucoup pour l’article

    Répondre

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

*

Le temps imparti est dépassé. Merci de saisir de nouveau le CAPTCHA.