II. Failover trên ASA
- Trên Router và SW layer 3 thì có HSRP để thực hiện dự phòng. Trên Firewall ASA cũng có tính năn dự phòng này. ASA sử dụng Failover và nó có 1 vài điểm tương đồng cũng như khác biết với HSRP như:
- Với HSRP thì hỗ trợ nhiều Router. Nhưng với Failover chỉ hỗ trợ 2 con firewall
- HSRP thì 2 Router giao tiếp với nhau(gói tin helo, keep alive…) qua đường mạng LAN bên dưới. Nhưng với ASA thì nó sử dụng 1 đường link vật lý nối trực tiếp giữa 2 con ASA để thực hiện trao đổi với nhau.

1. Cấu trúc của Failover
-
unit state: Trên ASA failover chỉ có 2 trạng thái:
-
Network link status: Là đường link kiểm soát trạng thái hệ thống mạng có hoạt động tốt hay không, có đường link nào bị chết hay không.
-
Hello or keepalive message: 2 ASA sẽ thực hiện trao đổi qua lại với nhau bằng gói tin
helo, keep-alive.
-
Mac address exchange:
- Với HSRP thì Router sử dụng MAC ảo
- Nhưng với ASA thì nó không tạo ra Mac ảo mà nó lấy luôn MAC ảo vật lý của con Active làm MAC của IP Gateway
- Có 1 vấn đề xảy ra là:
- Trong bảng CAM của SW chứa 2 MAC của 2 ASA Active và Standby.
- Khi con Active chết thì trong bảng CAM của SW sẽ mất MAC của con Active và chỉ còn MAC của con Standby.
- Vì không có MAC ảo nên con Standby không sơ hữu được MAC gateway. Trong bảng CAM của SW không có MAC của Gateway nên sẽ không forward được gói ARP của client đến gateway khi active chết.
- ASA giải quyết bằng cách sử dụng đường failover link để thực hiện cơ chế “MAC address exchange”. Dựa vào cơ chế này khi con Active chết con Standby lên làm Active sẽ lấy MAC vật lý của con Active làm MAC của nó.
-
Replication active to standby:
- Với HSRP thì phải cấu hình trên cả 2 Router về policy, IP …
- Với ASA: Là cơ chế Replication về configuration nghĩa là khi con Active cấu hình cái gì thì trên con Standby có cái đó. Việc đồng bộ này được thực hiện qua đường failover link.
2. Điều kiện để xảy ra failover
- Do Admin thực hiện cấu hình
- Do con Active bị mất nguồn hoặc bị crashed vì lý do hardware/software…
- Con Standby không nhận được gói helo hoặc gói keep-alive trên đường failover-link nữa
- Đường Failover link bị Down
- Đường link
Data-passing interface(đường nối vào mạng LAN giữa 2 ASA) bị down
3. Failover Interface Tests
- Mặc dù bạn rút dây failover ra thì nó vẫn chưa thực hiện chuyển quyền Active liền cho con ASA Standby mà nó phải thực hiện 1 vài kiểm tra.
- Việc có cướp quyền Active hay không nó sẽ kiểm tra dựa trên 2 link:
- Đường Failover link-control giữa 2 ASA còn hoạt động không
- Kiểm tra đường link của Data passing interface
- Việc Test sẽ trải qua 4 bước
- Link up/down test Test dựa trên Status interface của nó để xem up hay down. Nhưng nó vẫn chưa chắc được đường link của con ASA 2 up hay down ( vì đường link này không nối trực tiếp giữa 2 ASA mà có thể nối qua SW )
- Network activity test: Nó sẽ thực hiện lắng nghe xem có packet nào trong vòng 5s
- ARP test: ASA sẽ chủ động gửi ARP request để xem có ai trả lời không trong vòng 5s
- Broadcast ping test: Khi ARP không được thì nó sẽ chủ động ping để kiểm tra
4. Stateless và Stateful Failover
-
Stateless failover: Chỉ có thể nhìn vào 1 gói tin cụ thể.
-
Stateful failover: ASA sẽ tạo ra bảng Session(trạng thái) để lưu trạng thái. Dựa vào bảng trạng thái nó có thể ghép các packet thành 1 gói tin cụ thể và từ đó nó mới đưa ra chính sách…
- Cơ chế:
- Khi Client thực hiện truy cập http. Mà http sử dụng TCP phải có cơ chế “three-way-handshake”
- Khi con Active bị down và con Standby lên thay thế thì traffic http của client đang sử dụng trên con ASA active bị down sẽ được chuyển qua cho con ASA Standby vừa được làm Active
- Nhưng trên ASA 2 không có lưu bảng Session của client nên client phải thực hiện lại “Three-way-handshake” để thiết lập lại kết nối.
=> Đây là kiểu Stateless failover
- Khi ASA sử dụng cơ chế “Stateful Failover” nó sẽ thực hiện đồng bộ bảng session từ con Active cho con Standby. Nên việc con Active có bị down thì client vẫn truy cập bình thường mà không cần phải thiết lập kết nối lại từ đầu.
=> Đây là Stateful failover. Bất kì trạng thái nào có trên con Active sẽ được synchoniz trên con Standby
- Ưu điểm và nhược điểm của Stateful Failover
- Để thực hiện Stateful phải có 1 đường link Stateful giữa 2 con ASA. Đường Stateful có thể được sử dụng chung với đường failover để tiết kiệm
- Tuy nhiên Stateful có nhược điểm là con Standby phải cập nhập liên tục bảng trạng thái. Nên có thể ảnh hưởng đến performance.
- Bảng trạng thái các giao thức có thể Replication giữa 2 con ASA

5. Để chạy failover
- 2 con ASA phải giống nhau
model
-
Dung lượng Ram phải giống nhau
-
Number of interfaces
-
External Module
-
Activation key phải giống nhau
6. Các dạng failover
-
Active – Standby: sử dụng cơ chế
load redundancy
-
Active - Active: Sử dụng cơ chế
load sharing. Để chạy Load sharing ASA cần chuyển qua mode “
multiple” để chia “context”
- Phân biệt load Redundancy, load sharing và Loadbalancing
- Load redundancy: Load dự phòng, 1 con được xài, 1 con ngồi chơi
- Load Sharing: Chia tải
- VD: VLAN 1 đi internet qua ASA1, VLAN2 đi internet qua ASA2. Đây gọi là load sharing giữa các VLAN
- VD: PC1 trong VLAN 1 đi internet qua ASA1, PC2 trong VLAN 1 đi internet qua ASA 2. Đây gọi là load sharing giữa các PC trong cùng 1 VLAN.
=> Vậy load sharing là load theo kiểu trong cùng 1 thời điểm traffic chỉ đi qua 1 đường.
- Load balancing: Cân bằng tải.
- VD: PC trong VLAN 1 đi internet qua cả 2 đường qua ASA1 và ASA2. Đây gọi là load balancing
- Cluster(n) góc nhìn. Để mô tả cụm máy chủ, Bản chất bên trong từ Cluster(adj) thì load sharing hay loadbalancing là do admin quy định
7. Interface-level failover:
- Trên ASA hỗ trợ chức năng dự phòng trên interface. Nghĩa là gom 2 interface vật lý thành 1 interface. Khi 1 interface bị down thì 1 interface khác được thay thế, nó giống với tính năng
Flex_link

- Nhược điểm:
- Những kết nối TCP phải thiết lập lại
- Những giao thức định tuyến OSPF, EIGRP, RIP phải thực hiện thiết lập neighbor lại
- Làm lại bảng trạng thái inspection
- lưu ý:
- Những interface vật lý có thể thamgia Redundant interface nhưng không được gom các interface Management
- Hỗ trợ 8 redundant interfaces
- Trước khi gom gom interface bạn phải remove cái nameif của interface đó
- Interface standby là cổng ngủ chỉ được sử dụng khi cổng Active down
- Khi gia nhập nhóm Redundant interface thì những cấu hình trước của interface đó sẽ bị xóa bỏ hoàn toàn
- Nhóm Redundant interface sẽ sử dụng chung 1 MAC của interface đầu tiên tham gia vào nhóm.