场景如下。我有两个 ASA 5510 处于活动/备用状态。它们每个都有一个上行链路,连接到配置在 HSRP 中的两个路由器(HSRP1 和 HSRP2)之一。灾难来袭,活动 ASA 5510 和 HSRP1 之间的接口出现故障。
如果活动防火墙与网关的接口发生故障,流量能否通过备用防火墙?
更新:上面显示的拓扑无法正常工作。您必须有一个由 HSRP1、HSRP2 和两个防火墙共享的广播域(VLAN 或专用交换机),才能正常工作。否则,您将获得不对称路由和其他异常,因为 HSRP 路由器无法正确传达 hello 数据包。帮自己一个忙,在防火墙和路由器之间使用 VLAN 或专用交换机。
答案1
与 20 分钟前的答案相同:使用 ASA“跟踪”和“Ip SLA”选项。查看这些选项以跟踪从 asa 到 HSRP 的路由,并向其中添加 SLA 以切换网络路由。
答案2
您必须在 HSRP 路由器和 ASA 之间有一个广播域(读取:交换机),否则 HSRP hello 数据包将无法在路由器之间传输。
当我将 HSRP 路由器直接连接到防火墙时,我遇到了路由问题。不要重复我的错误 :)
需要有一个由两个防火墙和两个 HSRP 路由器共享的广播域才能使其工作。我在名义上位于这些防火墙后面的交换机上使用了一个专用于外部流量的 VLAN。我在该 VLAN 中为每个 HSRP 路由器和每个防火墙的外部接口标记了足够的交换机端口。
我没有在 ASA 上使用跟踪。如果我断开其中一个连接,HSRP 会自动无缝地为我进行故障转移。我发现主动/备用故障转移不太顺畅,因为连接实际上被断开了。