ASA failover配置(A/S)

　　1. 两条公网出口，分别为移动，联通

　　2. 两台ASA做主备配置，实现出口故障转移

　　3. 内网两台核心做堆叠配置(由于模拟器无法实现堆叠，此处使用HSRP)

需求描述

　　1. 当一条公网链路故障后，上网流量切换到备用线路

　　2. 当一台ASA故障后，流量切换到备用ASA

　　3. 当一台核心故障后，实现内网用户流量冗余

拓扑简介

　　1. vios9模拟移动链路，vios10模拟联通链路

　　2. switch13模拟公网主机

　　3. 出口两台switch作为互联网接入交换机

　　4. ASA作为出口设备，代理内网用户上网

　　5. 内网两台核心做HSRP配置

　　6. switch12 模拟内网主机

　　

配置详情

　　1. vios9

　　interface GigabitEthernet0/0
　　ip address 10.10.10.1 255.255.255.0

　　interface GigabitEthernet0/1
　　ip address 10.10.200.2 255.255.255.0

　　ip route 30.30.30.0 255.255.255.0 10.10.200.1 //通往公网主机路由

　　2. vios10

　　interface GigabitEthernet0/0

　　ip address 20.20.20.1 255.255.255.0

　　interface GigabitEthernet0/1
　　ip address 10.10.100.2 255.255.255.0

　　ip route 30.30.30.0 255.255.255.0 10.10.100.1 //通往公网主机路由

　　3. 互联网接入交换机配置

　　左边交换机

　　

　　右边交换机

　　

　　4. ASA配置

　　左边防火墙

　　failover  //启用failover功能

　　failover lan unit primary //配置ASA角色为主

　　failover lan interface failover_lan GigabitEthernet0/1

　　failover key cisco1234 //配置通讯秘钥

　　failover link failover_link GigabitEthernet0/2

　　failover interface ip failover_lan 1.1.1.5 255.255.255.252 standby 1.1.1.6 
　　failover interface ip failover_link 1.1.1.9 255.255.255.252 standby 1.1.1.10

　　右边防火墙　

　　failover 

　　failover lan unit primary

　　failover lan interface failover_lan GigabitEthernet0/1

　　failover key cisco1234

　　failover link failover_link GigabitEthernet0/2

　　failover interface ip failover_lan 1.1.1.5 255.255.255.252 standby 1.1.1.6
　　failover interface ip failover_link 1.1.1.9 255.255.255.252 standby 1.1.1.10

　　此时 ASA的主备功能配置完成，剩余的配置只要在主设备配置即可，备设备会自动同步

　　查看failover状态

　　

　　以下为防火墙接口配置，nat配置，路由配置 acl配置

　　

　

　　新建内网网段对象，并配置NAT

　　object network obj-inside1
　　subnet 192.168.10.0 255.255.255.0
　　object network obj-inside2
　　subnet 192.168.10.0 255.255.255.0

　　===============　

　　object network obj-inside1
　　nat (inside,outside1) dynamic interface
　　object network obj-inside2
　　nat (inside,outside2) dynamic interface

　　=============

　　路由配置

　　route outside1 0.0.0.0 0.0.0.0 10.10.10.1 1 track 1 //此处默认走此路由，配置track，当track链路出现问题时，自动切换默认路由
　　route outside2 0.0.0.0 0.0.0.0 20.20.20.1 254
　　route inside 192.168.10.0 255.255.255.0 1.1.1.18 1

　　=============

　　track配置　

　　sla monitor 123
　　type echo protocol ipIcmpEcho 10.10.10.1 interface outside1
　　　　num-packets 3
　　　　frequency 10
　　sla monitor schedule 123 life forever start-time now

　　track 1 rtr 123 reachability

　　==============

　　acl配置

　　access-list des_out extended permit icmp any any  //此处为了验证，放行icmp

　　access-group des_out in interface outside1 //分别在两个公网接口调用
　　access-group des_out in interface outside2 //分别在两个公网接口调用

　　5. 核心交换机配置

　　接口配置

　　左