某公司使用一台ASA5520作为内外网安全设备及互联网出口,现网还有一台ASA5520也放置于出口,但两台设备没有形成HA,并没有配置failover
出于提升网络安全性和冗余的考虑,现对设备进行failover配置
整个配置过程内容如下:前提条件要实现failover,两台设备需要满足以下的一些条件:1
相同的设备型号和硬件配置:设备模块、接口类型,接口数量,CPU,内存,flash闪存等2
相同的软件版本号,此处即指ASA的IOS版本,IOS版本需要高于7
相同的FW模式,必须同为路由模式或者透明模式4
相同的特性集,如支持的加密同为DES或者3DES5
合适的licensing,两台设备的license符合基本要求,能支持相同的failover除了以上的几点之外,两台ASA实现失效转移failover还需要按照情况制作对应的failover/stateful心跳线,可以是交叉网线
经过比对两台ASA5520的以上相关信息,发现目前两台ASA防火墙的IOS版本不一致,ASA-A是“asa804-3-k8
bin,SoftwareVersion8
0(4)3”,ASA-B是“asa821-k8
bin,SoftwareVersion8
通过比对还发现,两台ASA支持的Licensefeatures虽并不一致,但事实上,实现failover不需要licensefeatures完全一致,只要关键的几个特性如支持failover类型相同即可
所以,此两台设备如果要实现failover,则必须首先要做的就是使用ASA-B的升级ASA-A的IOS至8
2(1),或者将ASA-B的IOS降低至8
0(4)3版本,不推荐使用降级IOS的方式,所以下面的小节将给出实现failover前升级ASA-A的IOS具体操作过程(命令脚本)
升级IOS方案此以升级ASA-A的IO
