Pagina 1 di 1

Failover su PIX\ASA\FWSM

Inviato: lun 22 set , 2008 4:32 pm
da cavallo
Qualcuno può darmi qualche consiglio su come o dove trovare materiale per configurare il failover ?

ho due asa 5510 con IOS 8.0.3.

Grazie.

Inviato: mar 23 set , 2008 8:13 am
da SuperCiuk

Inviato: mar 23 set , 2008 11:30 am
da Wizard
Eccoti un esempio fresco fresco:

Codice: Seleziona tutto

# CONFIG FILEOVER (PIX PRIMARIO)

interface Ethernet1
 nameif inside
 ip address 192.168.1.1 255.255.255.0 standby 192.168.1.2

interface Ethernet2
 nameif dmz
 ip address 192.168.2.250 255.255.255.0 standby 192.168.2.251

interface Ethernet3
 description LAN/STATE Failover Interface
 no shut

failover
failover lan unit primary
failover lan interface LAN_FAIL Ethernet3
failover lan enable
failover link LAN_FAIL Ethernet3
failover interface ip LAN_FAIL 192.168.254.1 255.255.255.0 standby 192.168.254.2


# CONFIG FILEOVER (PIX SECONDARIO)

interface Ethernet1
 nameif inside
 ip address 192.168.1.1 255.255.255.0 standby 192.168.1.2

interface Ethernet2
 nameif dmz
 ip address 192.168.2.250 255.255.255.0 standby 192.168.2.251

interface Ethernet3
 description LAN/STATE Failover Interface
 no shut

failover
failover lan unit secondary
failover lan interface LAN_FAIL Ethernet3
failover lan enable
failover link LAN_FAIL Ethernet3
failover interface ip LAN_FAIL 192.168.254.1 255.255.255.0 standby 192.168.254.2

Inviato: mar 23 set , 2008 4:54 pm
da cavallo
Grazie a tutti ora faccio delle prove se mai chiderò di nuovo aiuto...

Inviato: lun 06 ott , 2008 3:29 pm
da cavallo
Ciao a tutti.

Guardando sul sito cisco se non sbaglio per mettere due asa in failover necessita di un cavo particolare o è sufficiente un cavo cross tra le due interfacce?

Re: Failover su PIX\ASA\FWSM

Inviato: gio 10 mar , 2011 12:28 pm
da Yaz
ciao a tutti,
sono interessato anch'io alla configurazione del failover su ASA 55xx non avendo mai effettuato configurazioni ha;
ho letto il tutorial che avete linkato e ho anche trovato un video di Cisco stessa.
Ho capito abbastanza ma ho ancora un pò di confusione:
-mi sembra di capire che per implementare lo stateful failover invece del regular posso usare la stessa interfaccia, ma devo separare le vlan. E' corretto?

Re:

Inviato: gio 01 set , 2011 2:24 pm
da nightfly83
cavallo ha scritto:Ciao a tutti.

Guardando sul sito cisco se non sbaglio per mettere due asa in failover necessita di un cavo particolare o è sufficiente un cavo cross tra le due interfacce?
Puoi utilizzare un cavo cross (se non ricordo male), uno strip se in mezzo ci metti uno switch (ma NON TE LO CONSIGLIO) oppure puoi usare il cavo proprietario.

Re: Failover su PIX\ASA\FWSM

Inviato: gio 24 nov , 2011 5:56 pm
da Yaz
stavo rileggendo questo thread e premetto che non ho grande esperienza di conf ha ma nella mia configurazione ho due asa collegati ognuno a uno switch e da lì si espande la lan tramite anche le vlan. il link di failover l'ho fatto passare attraverso i due switch dedicandogli una vlan a parte. poi ho un trunk tra sw e sw in cui passano tutte le vlan meno quella del failover. è sbagliato così ed è meglio usare un cross oppure l'avviso di non usare uno switch è intesa solo come ulteriore possibile punto di rottura rispetto ad un cavo? da quello che ho capito con un cross se cade uno sw lo scambio non avvenga dato che il link di failover "sente" ancora l'altro fw.

Re: Failover su PIX\ASA\FWSM

Inviato: ven 11 mag , 2012 11:40 am
da fit83
Ho finito la configurazione proprio ieri. Cisco consiglia di utilizzare 2 interfacce fisiche dedicate per lo state failover o, al limite, anche una soltanto che si occuperà di entrambe le funzioni. Il collegamento può avvenire indifferentemente tramite cavo (cross o meno è indifferente, viene specificato in un'altra sezione del documento) oppure tramite 2 switch (viene sconsigliato l'utilizzo di un solo switch perché in caso di guasti è più difficile identificare il guasto, a livello funzionale non cambia nulla).

Re: Failover su PIX\ASA\FWSM

Inviato: ven 01 feb , 2013 11:49 am
da marlinbrown
ho scoperto che nell'ASA si può consentire il transito di icmp sia tramite acl applicandole poi con la access-group che con la direttiva icmp ( scoperta di recente :) ).
Quale secondo voi è la best practice ?
Non trovate sia un pò illogico fornire più strade per consentire la stessa cosa ?


Segnala il messaggio

Re: Failover su PIX\ASA\FWSM

Inviato: mar 26 feb , 2013 12:46 pm
da scolpi
Premetto che è da un bel po' che non lavoro sugli asa, ma probabilmente la " direttiva icmp" in qualche modo rende statefull l'icmp che in realtà non lo è e quindi non devi aprire la sia per l'echo che per il replay nelle acl, questo quello che mi vien da pensare. Inoltre c'è anche la possibilità di attivare l'icmp inspect che dovrebbe essre la stessa cosa, a meno che tu non intenda per " direttiva" proprio l'icmp inspect.

ciao