Failover su PIX\ASA\FWSM

Mettete al sicuro la vostra rete!

Moderators: Federico.Lagni, TheIrish, Wizard, andrewp

Failover su PIX\ASA\FWSM

Postby cavallo » Mon 22 Sep , 2008 4:32 pm

Qualcuno può darmi qualche consiglio su come o dove trovare materiale per configurare il failover ?

ho due asa 5510 con IOS 8.0.3.

Grazie.
cavallo
 

Postby SuperCiuk » Tue 23 Sep , 2008 8:13 am

Pessimismo e fastidio.
User avatar
SuperCiuk
n00b
 
Posts: 12
Joined: Fri 19 Sep , 2008 2:58 pm

Postby Wizard » Tue 23 Sep , 2008 11:30 am

Eccoti un esempio fresco fresco:

Code: Select all
# CONFIG FILEOVER (PIX PRIMARIO)

interface Ethernet1
 nameif inside
 ip address 192.168.1.1 255.255.255.0 standby 192.168.1.2

interface Ethernet2
 nameif dmz
 ip address 192.168.2.250 255.255.255.0 standby 192.168.2.251

interface Ethernet3
 description LAN/STATE Failover Interface
 no shut

failover
failover lan unit primary
failover lan interface LAN_FAIL Ethernet3
failover lan enable
failover link LAN_FAIL Ethernet3
failover interface ip LAN_FAIL 192.168.254.1 255.255.255.0 standby 192.168.254.2


# CONFIG FILEOVER (PIX SECONDARIO)

interface Ethernet1
 nameif inside
 ip address 192.168.1.1 255.255.255.0 standby 192.168.1.2

interface Ethernet2
 nameif dmz
 ip address 192.168.2.250 255.255.255.0 standby 192.168.2.251

interface Ethernet3
 description LAN/STATE Failover Interface
 no shut

failover
failover lan unit secondary
failover lan interface LAN_FAIL Ethernet3
failover lan enable
failover link LAN_FAIL Ethernet3
failover interface ip LAN_FAIL 192.168.254.1 255.255.255.0 standby 192.168.254.2
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
User avatar
Wizard
Intergalactic subspace network admin
 
Posts: 3441
Joined: Fri 03 Feb , 2006 10:04 am
Location: Emilia Romagna

Postby cavallo » Tue 23 Sep , 2008 4:54 pm

Grazie a tutti ora faccio delle prove se mai chiderò di nuovo aiuto...
cavallo
 

Postby cavallo » Mon 06 Oct , 2008 3:29 pm

Ciao a tutti.

Guardando sul sito cisco se non sbaglio per mettere due asa in failover necessita di un cavo particolare o è sufficiente un cavo cross tra le due interfacce?
cavallo
 

Re: Failover su PIX\ASA\FWSM

Postby Yaz » Thu 10 Mar , 2011 12:28 pm

ciao a tutti,
sono interessato anch'io alla configurazione del failover su ASA 55xx non avendo mai effettuato configurazioni ha;
ho letto il tutorial che avete linkato e ho anche trovato un video di Cisco stessa.
Ho capito abbastanza ma ho ancora un pò di confusione:
-mi sembra di capire che per implementare lo stateful failover invece del regular posso usare la stessa interfaccia, ma devo separare le vlan. E' corretto?
Yaz
n00b
 
Posts: 13
Joined: Mon 04 Aug , 2008 10:00 pm

Re:

Postby nightfly83 » Thu 01 Sep , 2011 2:24 pm

cavallo wrote:Ciao a tutti.

Guardando sul sito cisco se non sbaglio per mettere due asa in failover necessita di un cavo particolare o è sufficiente un cavo cross tra le due interfacce?


Puoi utilizzare un cavo cross (se non ricordo male), uno strip se in mezzo ci metti uno switch (ma NON TE LO CONSIGLIO) oppure puoi usare il cavo proprietario.
Dott. in Ingegneria delle Telecomunicazioni
CCNA R&S
CCNA Security
CompTIA Network+
CompTIA Security+
EUCIP Core
EUCIP IT Administrator Fundamentals
MCP Windows Server 2012
MCSA Windows Server 2008
MCITP
MCTS
nightfly83
n00b
 
Posts: 21
Joined: Sat 09 May , 2009 3:58 pm

Re: Failover su PIX\ASA\FWSM

Postby Yaz » Thu 24 Nov , 2011 5:56 pm

stavo rileggendo questo thread e premetto che non ho grande esperienza di conf ha ma nella mia configurazione ho due asa collegati ognuno a uno switch e da lì si espande la lan tramite anche le vlan. il link di failover l'ho fatto passare attraverso i due switch dedicandogli una vlan a parte. poi ho un trunk tra sw e sw in cui passano tutte le vlan meno quella del failover. è sbagliato così ed è meglio usare un cross oppure l'avviso di non usare uno switch è intesa solo come ulteriore possibile punto di rottura rispetto ad un cavo? da quello che ho capito con un cross se cade uno sw lo scambio non avvenga dato che il link di failover "sente" ancora l'altro fw.
Yaz
n00b
 
Posts: 13
Joined: Mon 04 Aug , 2008 10:00 pm

Re: Failover su PIX\ASA\FWSM

Postby fit83 » Fri 11 May , 2012 11:40 am

Ho finito la configurazione proprio ieri. Cisco consiglia di utilizzare 2 interfacce fisiche dedicate per lo state failover o, al limite, anche una soltanto che si occuperà di entrambe le funzioni. Il collegamento può avvenire indifferentemente tramite cavo (cross o meno è indifferente, viene specificato in un'altra sezione del documento) oppure tramite 2 switch (viene sconsigliato l'utilizzo di un solo switch perché in caso di guasti è più difficile identificare il guasto, a livello funzionale non cambia nulla).
fit83
n00b
 
Posts: 7
Joined: Fri 24 Feb , 2012 9:04 am

Re: Failover su PIX\ASA\FWSM

Postby marlinbrown » Fri 01 Feb , 2013 11:49 am

ho scoperto che nell'ASA si può consentire il transito di icmp sia tramite acl applicandole poi con la access-group che con la direttiva icmp ( scoperta di recente :) ).
Quale secondo voi è la best practice ?
Non trovate sia un pò illogico fornire più strade per consentire la stessa cosa ?


Segnala il messaggio
testking exam dump questions testking exam dump questions
ged ged
mcat mcat
lsat lsat
marlinbrown
n00b
 
Posts: 1
Joined: Fri 01 Feb , 2013 11:45 am

Re: Failover su PIX\ASA\FWSM

Postby scolpi » Tue 26 Feb , 2013 12:46 pm

Premetto che è da un bel po' che non lavoro sugli asa, ma probabilmente la " direttiva icmp" in qualche modo rende statefull l'icmp che in realtà non lo è e quindi non devi aprire la sia per l'echo che per il replay nelle acl, questo quello che mi vien da pensare. Inoltre c'è anche la possibilità di attivare l'icmp inspect che dovrebbe essre la stessa cosa, a meno che tu non intenda per " direttiva" proprio l'icmp inspect.

ciao
CCNA Security,CCDP, CCNP R&S
scolpi
Network Emperor
 
Posts: 337
Joined: Sat 30 Oct , 2010 5:33 pm


Return to Sicurezza

Who is online

Users browsing this forum: No registered users and 1 guest