1、A/A Failover 介绍
安全设备可以成对搭配成A/A的FO来提供设备级的冗余和负载分担。
两个设备在互为备份的同时,也能同时转发流量。
使用虚拟子防火墙是必须的,子防火墙被归为两个FO组。
一个物理防火墙只会在一个FO组中成为active。
2、A/A Failover对负载的处理
负载分担不相干的流量
每一个物理设备都有一个这样的active子防火墙
路由指向active的子防火墙,这些子防火墙分布在两个物理设备
负载分担相关流量
每个物理设备都有一个这样的active子防火墙
在邻近的路由器设备上必须分割流量到两个物理设备上的两个active子防火墙上
返回流量必须特殊处理
3、Active context 的选举
当一个安全设备启动后,它开始一个FO选举过程
当在FO接口检测到一个正在协商的设备,本地FO组配置的Primary设备将变成standby
如果它检测到一个设备在两个组中都是active,那它没有检测到设备,它在两个FO组将变成active
如果两个墙中有一个不健康,那么健康的子墙在一个FO组里将成为active。
4、Failover切换事件
FO出现在设备或子防火墙级别上
当一个物理防火墙的一个组内的actvie成员出现故障,另一个物理防火墙的standby成员将变成active
安全设备单元优先级不会改变
切换发生后,IP和MAC地址在组成员之间被切换
5、Failover的链路类型
FO链路
状态化链路
两个Failover链路在系统执行空间里配置
6、A/A的Failover部署方针
部署方针和A/S高可用性FO基本一样
要求和限制通A/S高可用性FO一样,下面罗列了额外的问题:
A/A的FO只有设备是多模模式才可使用,透明墙的限制
DHCP reley
Dynamic routing protocols
Dynamic DNS
Multicast IP routing
Quality of Service
ASA505不支持A/A的Failover