Dubbio con 2 x ASA in Active/Standby

[Yaz]

Ciao a tutti volevo chiedere a qualcuno esperto in firewall asa se è normale che una configurazione di due asa in active/standby funzionante (sono stati fatti test per assicurarsi che entri quello in standby staccando dei link) comunque ogni tanto scambi da solo l'apparato attivo e vice. Ho ricontrollato la configurazione e anche nella documentazione non trovo traccia di questa cosa.

[anubisg1]

se c'è "preempt" attivo con tracking su qualcosa, si... è normale ma vuol dire che qualcosa non va...

per esempio.. se tieni sotto controllo un'interfaccia..

quando questa va down, la priorità del router attivo diminuisce, diventa minore del secondo che a quel punto diventa attivo.

[Yaz]

nessun preempt nella configurazione. quindi c'è qualcosa che non và...
cosa intendi per tenere sotto controllo un'interfaccia? le interfacce sono controllate dal link di failover no? se intendi invece il monitoraggio tipo nagios si è attivo, ma non vedo come possa influire visto che sul fw fà semlicemente un ping

[anubisg1]

nessun preempt nella configurazione. quindi c'è qualcosa che non và...
cosa intendi per tenere sotto controllo un'interfaccia? le interfacce sono controllate dal link di failover no? se intendi invece il monitoraggio tipo nagios si è attivo, ma non vedo come possa influire visto che sul fw fà semlicemente un ping

non c'è preempt? personalmente lo considero un errore di design usare hsrp senza preempt...

per il tracking mi riferisco a

Codice: Seleziona tutto

Router(config)# track 2 interface FastEthernet 0/1 ip routing 
Router(config)# int fa0/0
Router(config-if)# ip add 192.168.1.254 255.255.255.0
Router(config-if)# standby 1 priority 105
Router(config-if)# standby 1 preempt
Router(config-if)# standby 1 ip 192.168.1.1
Router(config-if)# standby 1 track 2 decrement 10

l'oggetto "track" numero 2, controlla l'interfaccia fa0/1. quando questa perde la capacità di fare routing (no ip, interfaccia up/down o down/down)

quando questo succede, hsrp decrementa la priorità di 10, portandola da 105 a 95.

ammesso che l'altro router abbia priorità predefinita di 100, addesso l'altro router ha priorità + alta (100>95) e se preempt è abilitato, diventa il router attivo

[Yaz]

non c'è preempt? personalmente lo considero un errore di design usare hsrp senza preempt...

per il tracking mi riferisco a

Codice: Seleziona tutto

Router(config)# track 2 interface FastEthernet 0/1 ip routing 
Router(config)# int fa0/0
Router(config-if)# ip add 192.168.1.254 255.255.255.0
Router(config-if)# standby 1 priority 105
Router(config-if)# standby 1 preempt
Router(config-if)# standby 1 ip 192.168.1.1
Router(config-if)# standby 1 track 2 decrement 10

l'oggetto "track" numero 2, controlla l'interfaccia fa0/1. quando questa perde la capacità di fare routing (no ip, interfaccia up/down o down/down)

quando questo succede, hsrp decrementa la priorità di 10, portandola da 105 a 95.

ammesso che l'altro router abbia priorità predefinita di 100, addesso l'altro router ha priorità + alta (100>95) e se preempt è abilitato, diventa il router attivo

Ciao, ritiro su questo thread perchè nonostante poi abbia risolto il problema (togliendo lo switch di mezzo per il link di failover e usando un cavo diretto) il tuo post mi ha attivato, dato che nella guida di cisco studiata per configurare il failover non era menzionato il tracking. Ora stavo studiando un pò l'hsrp e mi chiedevo perchè dovrei usare l'hsrp con l'asa: nella mia rete c'è già il router, uso l'asa solo come firewall dato che non fà bgp (o meglio lo uso anche come router ma ospf) e poi l'ha è configurato active/stanby e non active/active.
Quindi in teoria non dovrebbe esserci errore nella configurazione...