Qualcuno può darmi qualche consiglio su come o dove trovare materiale per configurare il failover ?
ho due asa 5510 con IOS 8.0.3.
Grazie.
Failover su PIX\ASA\FWSM
Moderatore: Federico.Lagni
-
SuperCiuk
- n00b
- Messaggi: 12
- Iscritto il: ven 19 set , 2008 2:58 pm
Pessimismo e fastidio.
-
Wizard
- Intergalactic subspace network admin
- Messaggi: 3441
- Iscritto il: ven 03 feb , 2006 10:04 am
- Località: Emilia Romagna
- Contatta:
Eccoti un esempio fresco fresco:
Codice: Seleziona tutto
# CONFIG FILEOVER (PIX PRIMARIO)
interface Ethernet1
nameif inside
ip address 192.168.1.1 255.255.255.0 standby 192.168.1.2
interface Ethernet2
nameif dmz
ip address 192.168.2.250 255.255.255.0 standby 192.168.2.251
interface Ethernet3
description LAN/STATE Failover Interface
no shut
failover
failover lan unit primary
failover lan interface LAN_FAIL Ethernet3
failover lan enable
failover link LAN_FAIL Ethernet3
failover interface ip LAN_FAIL 192.168.254.1 255.255.255.0 standby 192.168.254.2
# CONFIG FILEOVER (PIX SECONDARIO)
interface Ethernet1
nameif inside
ip address 192.168.1.1 255.255.255.0 standby 192.168.1.2
interface Ethernet2
nameif dmz
ip address 192.168.2.250 255.255.255.0 standby 192.168.2.251
interface Ethernet3
description LAN/STATE Failover Interface
no shut
failover
failover lan unit secondary
failover lan interface LAN_FAIL Ethernet3
failover lan enable
failover link LAN_FAIL Ethernet3
failover interface ip LAN_FAIL 192.168.254.1 255.255.255.0 standby 192.168.254.2Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
-
cavallo
Ciao a tutti.
Guardando sul sito cisco se non sbaglio per mettere due asa in failover necessita di un cavo particolare o è sufficiente un cavo cross tra le due interfacce?
Guardando sul sito cisco se non sbaglio per mettere due asa in failover necessita di un cavo particolare o è sufficiente un cavo cross tra le due interfacce?
-
Yaz
- n00b
- Messaggi: 14
- Iscritto il: lun 04 ago , 2008 10:00 pm
ciao a tutti,
sono interessato anch'io alla configurazione del failover su ASA 55xx non avendo mai effettuato configurazioni ha;
ho letto il tutorial che avete linkato e ho anche trovato un video di Cisco stessa.
Ho capito abbastanza ma ho ancora un pò di confusione:
-mi sembra di capire che per implementare lo stateful failover invece del regular posso usare la stessa interfaccia, ma devo separare le vlan. E' corretto?
sono interessato anch'io alla configurazione del failover su ASA 55xx non avendo mai effettuato configurazioni ha;
ho letto il tutorial che avete linkato e ho anche trovato un video di Cisco stessa.
Ho capito abbastanza ma ho ancora un pò di confusione:
-mi sembra di capire che per implementare lo stateful failover invece del regular posso usare la stessa interfaccia, ma devo separare le vlan. E' corretto?
-
nightfly83
- n00b
- Messaggi: 21
- Iscritto il: sab 09 mag , 2009 3:58 pm
Puoi utilizzare un cavo cross (se non ricordo male), uno strip se in mezzo ci metti uno switch (ma NON TE LO CONSIGLIO) oppure puoi usare il cavo proprietario.cavallo ha scritto:Ciao a tutti.
Guardando sul sito cisco se non sbaglio per mettere due asa in failover necessita di un cavo particolare o è sufficiente un cavo cross tra le due interfacce?
Dott. in Ingegneria delle Telecomunicazioni
CCNA R&S
CCNA Security
CompTIA Network+
CompTIA Security+
EUCIP Core
EUCIP IT Administrator Fundamentals
MCP Windows Server 2012
MCSA Windows Server 2008
MCITP
MCTS
CCNA R&S
CCNA Security
CompTIA Network+
CompTIA Security+
EUCIP Core
EUCIP IT Administrator Fundamentals
MCP Windows Server 2012
MCSA Windows Server 2008
MCITP
MCTS
-
Yaz
- n00b
- Messaggi: 14
- Iscritto il: lun 04 ago , 2008 10:00 pm
stavo rileggendo questo thread e premetto che non ho grande esperienza di conf ha ma nella mia configurazione ho due asa collegati ognuno a uno switch e da lì si espande la lan tramite anche le vlan. il link di failover l'ho fatto passare attraverso i due switch dedicandogli una vlan a parte. poi ho un trunk tra sw e sw in cui passano tutte le vlan meno quella del failover. è sbagliato così ed è meglio usare un cross oppure l'avviso di non usare uno switch è intesa solo come ulteriore possibile punto di rottura rispetto ad un cavo? da quello che ho capito con un cross se cade uno sw lo scambio non avvenga dato che il link di failover "sente" ancora l'altro fw.
-
fit83
- n00b
- Messaggi: 7
- Iscritto il: ven 24 feb , 2012 9:04 am
Ho finito la configurazione proprio ieri. Cisco consiglia di utilizzare 2 interfacce fisiche dedicate per lo state failover o, al limite, anche una soltanto che si occuperà di entrambe le funzioni. Il collegamento può avvenire indifferentemente tramite cavo (cross o meno è indifferente, viene specificato in un'altra sezione del documento) oppure tramite 2 switch (viene sconsigliato l'utilizzo di un solo switch perché in caso di guasti è più difficile identificare il guasto, a livello funzionale non cambia nulla).
-
marlinbrown
- n00b
- Messaggi: 1
- Iscritto il: ven 01 feb , 2013 11:45 am
ho scoperto che nell'ASA si può consentire il transito di icmp sia tramite acl applicandole poi con la access-group che con la direttiva icmp ( scoperta di recente 
).
Quale secondo voi è la best practice ?
Non trovate sia un pò illogico fornire più strade per consentire la stessa cosa ?
Segnala il messaggio
).Quale secondo voi è la best practice ?
Non trovate sia un pò illogico fornire più strade per consentire la stessa cosa ?
Segnala il messaggio
-
scolpi
- Network Emperor
- Messaggi: 337
- Iscritto il: sab 30 ott , 2010 5:33 pm
Premetto che è da un bel po' che non lavoro sugli asa, ma probabilmente la " direttiva icmp" in qualche modo rende statefull l'icmp che in realtà non lo è e quindi non devi aprire la sia per l'echo che per il replay nelle acl, questo quello che mi vien da pensare. Inoltre c'è anche la possibilità di attivare l'icmp inspect che dovrebbe essre la stessa cosa, a meno che tu non intenda per " direttiva" proprio l'icmp inspect.
ciao
ciao
CCNA Security,CCDP, CCNP R&S
