Cisco ASA [Chapter 14] High Availability on Firewall Cisco ASA

Trước tiên là phần Overview HSRP vì cơ chế dự phòng của ASA khác giống với cơ chế dự phòng HSRP trên Router và SW layer 3

I. HSRP
1. Ý tưởng:
- HSRP: Gom 2 Router thật thành 1 Router ảo
- Router ảo sẽ có 1 IP ảo và MAC ảo, và bạn có thể điều chỉnh được IP và MAC ảo này.

2. Phân công vai trò
- Active: Chịu trách nhiệm reply gói tin ARP cho user.

• Client gửi ARP request để hỏi MAC của IP gateway là gì. Gói ARP request là 1 gói broadcast
• Vì chỉ có con Router Active mới nhận được gói ARP request nên các con Router Standby sẽ drop bỏ gói ARP request của client
• Active sẽ trả lời cho client gói ARP reply với nội dung IP gateway và MAC là IP và MAC của con Router ảo được tạo ra.
  => Router nào Active thì Router đó sử dụng IP ảo và MAC ảo.

- Standby

• Khi Router Active chết thì Stanby sẽ lên làm Active dựa vào các thông điệp helo và keep-alive trên 2 Router.
• Lúc này Router sẽ sử dụng MAC ảo và IP ảo và đảm nhận vai trò ARP reply cho client
• Lúc này trên SW sẽ xuất hiện 2 MAC ảo của 1 IP ảo trên 2 interface của SW. Switch sẽ xóa MAC ảo cũ (active cũ) và update lại MAC ảo của con Standby vừa lên làm Active. Như vậy khi client ARP MAC ảo SW sẽ forward qua cổng của con Router 2 thay vì cổng của Router 1 vì Router 1 đã down.

- Listener:

• Khi Active Router chết thì con Standby lên làm Active và con Listener Router sẽ được lên làm con Standby

3. Kết luận:
- HSRP dựa vào 2 công nghệ để transparent hạ tầng mạng

• Sử dụng gói tin ARP
• Sử dụng bảng CAM của SW để chuyển mạch gói tin

II. Failover trên ASA
- Trên Router và SW layer 3 thì có HSRP để thực hiện dự phòng. Trên Firewall ASA cũng có tính năn dự phòng này. ASA sử dụng Failover và nó có 1 vài điểm tương đồng cũng như khác biết với HSRP như:

• Với HSRP thì hỗ trợ nhiều Router. Nhưng với Failover chỉ hỗ trợ 2 con firewall
• HSRP thì 2 Router giao tiếp với nhau(gói tin helo, keep alive…) qua đường mạng LAN bên dưới. Nhưng với ASA thì nó sử dụng 1 đường link vật lý nối trực tiếp giữa 2 con ASA để thực hiện trao đổi với nhau.

1. Cấu trúc của Failover
- unit state: Trên ASA failover chỉ có 2 trạng thái:

• Active
• Standby

- Network link status: Là đường link kiểm soát trạng thái hệ thống mạng có hoạt động tốt hay không, có đường link nào bị chết hay không.
- Hello or keepalive message: 2 ASA sẽ thực hiện trao đổi qua lại với nhau bằng gói tin helo, keep-alive.
- Mac address exchange:

• Với HSRP thì Router sử dụng MAC ảo
• Nhưng với ASA thì nó không tạo ra Mac ảo mà nó lấy luôn MAC ảo vật lý của con Active làm MAC của IP Gateway
• Có 1 vấn đề xảy ra là:
  • Trong bảng CAM của SW chứa 2 MAC của 2 ASA Active và Standby.
  • Khi con Active chết thì trong bảng CAM của SW sẽ mất MAC của con Active và chỉ còn MAC của con Standby.
  • Vì không có MAC ảo nên con Standby không sơ hữu được MAC gateway. Trong bảng CAM của SW không có MAC của Gateway nên sẽ không forward được gói ARP của client đến gateway khi active chết.
• ASA giải quyết bằng cách sử dụng đường failover link để thực hiện cơ chế “MAC address exchange”. Dựa vào cơ chế này khi con Active chết con Standby lên làm Active sẽ lấy MAC vật lý của con Active làm MAC của nó.

- Replication active to standby:

• Với HSRP thì phải cấu hình trên cả 2 Router về policy, IP …
• Với ASA: Là cơ chế Replication về configuration nghĩa là khi con Active cấu hình cái gì thì trên con Standby có cái đó. Việc đồng bộ này được thực hiện qua đường failover link.

2. Điều kiện để xảy ra failover
- Do Admin thực hiện cấu hình
- Do con Active bị mất nguồn hoặc bị crashed vì lý do hardware/software…
- Con Standby không nhận được gói helo hoặc gói keep-alive trên đường failover-link nữa
- Đường Failover link bị Down
- Đường link Data-passing interface(đường nối vào mạng LAN giữa 2 ASA) bị down

3. Failover Interface Tests
- Mặc dù bạn rút dây failover ra thì nó vẫn chưa thực hiện chuyển quyền Active liền cho con ASA Standby mà nó phải thực hiện 1 vài kiểm tra.
- Việc có cướp quyền Active hay không nó sẽ kiểm tra dựa trên 2 link:

• Đường Failover link-control giữa 2 ASA còn hoạt động không
• Kiểm tra đường link của Data passing interface

- Việc Test sẽ trải qua 4 bước

• Link up/down test Test dựa trên Status interface của nó để xem up hay down. Nhưng nó vẫn chưa chắc được đường link của con ASA 2 up hay down ( vì đường link này không nối trực tiếp giữa 2 ASA mà có thể nối qua SW )
• Network activity test: Nó sẽ thực hiện lắng nghe xem có packet nào trong vòng 5s
• ARP test: ASA sẽ chủ động gửi ARP request để xem có ai trả lời không trong vòng 5s
• Broadcast ping test: Khi ARP không được thì nó sẽ chủ động ping để kiểm tra

4. Stateless và Stateful Failover
- Stateless failover: Chỉ có thể nhìn vào 1 gói tin cụ thể.
- Stateful failover: ASA sẽ tạo ra bảng Session(trạng thái) để lưu trạng thái. Dựa vào bảng trạng thái nó có thể ghép các packet thành 1 gói tin cụ thể và từ đó nó mới đưa ra chính sách…- Cơ chế:

• Khi Client thực hiện truy cập http. Mà http sử dụng TCP phải có cơ chế “three-way-handshake”
• Khi con Active bị down và con Standby lên thay thế thì traffic http của client đang sử dụng trên con ASA active bị down sẽ được chuyển qua cho con ASA Standby vừa được làm Active
• Nhưng trên ASA 2 không có lưu bảng Session của client nên client phải thực hiện lại “Three-way-handshake” để thiết lập lại kết nối.
  => Đây là kiểu Stateless failover

• Khi ASA sử dụng cơ chế “Stateful Failover” nó sẽ thực hiện đồng bộ bảng session từ con Active cho con Standby. Nên việc con Active có bị down thì client vẫn truy cập bình thường mà không cần phải thiết lập kết nối lại từ đầu.
  => Đây là Stateful failover. Bất kì trạng thái nào có trên con Active sẽ được synchoniz trên con Standby

- Ưu điểm và nhược điểm của Stateful Failover

• Để thực hiện Stateful phải có 1 đường link Stateful giữa 2 con ASA. Đường Stateful có thể được sử dụng chung với đường failover để tiết kiệm
• Tuy nhiên Stateful có nhược điểm là con Standby phải cập nhập liên tục bảng trạng thái. Nên có thể ảnh hưởng đến performance.

- Bảng trạng thái các giao thức có thể Replication giữa 2 con ASA

5. Để chạy failover
- 2 con ASA phải giống nhau model
- Dung lượng Ram phải giống nhau
- Number of interfaces
- External Module
- Activation key phải giống nhau

6. Các dạng failover
- Active – Standby: sử dụng cơ chế load redundancy
- Active - Active: Sử dụng cơ chế load sharing. Để chạy Load sharing ASA cần chuyển qua mode “multiple” để chia “context”
- Phân biệt load Redundancy, load sharing và Loadbalancing

• Load redundancy: Load dự phòng, 1 con được xài, 1 con ngồi chơi
• Load Sharing: Chia tải
  • VD: VLAN 1 đi internet qua ASA1, VLAN2 đi internet qua ASA2. Đây gọi là load sharing giữa các VLAN
  • VD: PC1 trong VLAN 1 đi internet qua ASA1, PC2 trong VLAN 1 đi internet qua ASA 2. Đây gọi là load sharing giữa các PC trong cùng 1 VLAN.

=> Vậy load sharing là load theo kiểu trong cùng 1 thời điểm traffic chỉ đi qua 1 đường.

• Load balancing: Cân bằng tải.
  • VD: PC trong VLAN 1 đi internet qua cả 2 đường qua ASA1 và ASA2. Đây gọi là load balancing
• Cluster(n) góc nhìn. Để mô tả cụm máy chủ, Bản chất bên trong từ Cluster(adj) thì load sharing hay loadbalancing là do admin quy định

7. Interface-level failover:
- Trên ASA hỗ trợ chức năng dự phòng trên interface. Nghĩa là gom 2 interface vật lý thành 1 interface. Khi 1 interface bị down thì 1 interface khác được thay thế, nó giống với tính năng Flex_link


- Nhược điểm:

• Những kết nối TCP phải thiết lập lại
• Những giao thức định tuyến OSPF, EIGRP, RIP phải thực hiện thiết lập neighbor lại
• Làm lại bảng trạng thái inspection

- lưu ý:

• Những interface vật lý có thể thamgia Redundant interface nhưng không được gom các interface Management
• Hỗ trợ 8 redundant interfaces
• Trước khi gom gom interface bạn phải remove cái nameif của interface đó
• Interface standby là cổng ngủ chỉ được sử dụng khi cổng Active down
• Khi gia nhập nhóm Redundant interface thì những cấu hình trước của interface đó sẽ bị xóa bỏ hoàn toàn
• Nhóm Redundant interface sẽ sử dụng chung 1 MAC của interface đầu tiên tham gia vào nhóm.