[Firewall] ASA Failover (Active / Standby)

failover_Active,Standby_Config.txt

0.00MB

 

-  명령어 입력 후 WIN7_A와 WIN7_B에서 출발지와 목적지 IP 주소에 따라 외부 통신이 성공할 수 도 있고, 실패할 수도 있다. 

 

-   CEF에 의한 Asymmetric Routing(비대칭 라우팅)이 발생될 수도 있기 때문이다.

-   비대칭 라우팅은 요청 트래픽과 응답 트래픽이 서로 다른 경로를 통해 전송되는 것을 의미한다.
-   단순히 라우팅만 처리하는 L3 장비의 경우 비대칭 라우팅이 발생되어도 목적지에 대한 경로 정보만 자신의 라우팅 테이블에 등록되어 있다면 정상적으로 전송이 가능하다.
-   Session을 인지하고 처리하는 방화벽, VPN, NAT 장비의 경우 비대칭 라우팅이 발생되면 정상적으로 응답 패킷을 처리할 수 없다.

-   show ip cef exact-route [So.IP] [De.IP] 명령어로 확인 가능하다.

-   비대칭 라우팅이 발생되는 이유는 CE 라우팅 테이블에 내부 네트워크(10.10.1.0/24) 경로 정보가 ASA-1과 ASA-2로 로드 밸런싱 되고있기 때문이다.

-   위와 같은 상황에서 요청 트래픽이 전송되었던 ASA가 아닌 반대편 ASA로 응답 트래픽이 들어오는 경우 통신이 실패하게된다. 이러한 문제를 해결하기 위해서는 다음과 같은 방법으로 Path Control(경로 조정)을 해야한다.

 

1. Static Route를 사용한 경로 조정

 

-   Static Route는 AD값이 1이기 때문에 특정 목적지에 대한 경로를 변경하고자 할 때 가장 쉽게 사용되는 방법이다.

-   Longest Prefix Match Rule에 의해서 경로가 결정된다. 또한 현재의 경우 Static Route는 AD가 1이기 때문에 10.10.1.0/24 대역으로 Static Route를 설정해도 된다.

 

<CE> conf t nip route 10.10.1.1 255.255.255.255 fa 0/0 1.1.100.1 ip route 10.10.1.2 255.255.255.255 fa 0/0 1.1.100.1

 

2. PBR(Policy Based Routing)을 사용한 경로 조정

 

-   PBR을 설정하는 경우 특정 패킷에 대한 경로를 Routing Table에 등록된 경로 정보가 아닌 관리자가 지정한 경로로 전송되도록 할 수 있다.

 

PBR을 구성하는 순서

 

1. Access-list / Prifix-list를 사용하여 대상 트래픽 지정

2. Route-map을 생성하여 경로를 정의

3. 생성된 Route-map을 인터페이스에 적용

 

 

route-map PBR_TEST permit 20

   route-map은 1개밖에 적용을 못하기 때문에 이름은 같게 설정하고 번호를 다르게 설정한다.

 

<CE> access-list 100 ip permit any host 10.10.1.1 access-list 101 ip permit any host 10.10.1.2 route-map PBR_TEST permit 10  match ip address 100  set ip next-hop 1.1.100.1 ! route-map PBR_TEST permit 20  match ip address 101  set ip next-hop 1.1.100.1 ! int fa 0/1  ip policy route-map PBR_TEST !

 

show route-map

 

 

Ping 테스트

 

 

ASA Faiover(이중화)

 

-   방화벽의 경우도 Availablity(가용성)을 고려한다면 반드시 이중화 구성이 필요하다.

-   ASA 이중화는 FHRP(Gateway 이중화)동작과 다르다.

 

방화벽 이중화 구분

1. Active / Active

 

-   Security-Context 기능이 지원되어야 사용이 가능하다. (ASAv가 논리적 방화벽이기 때문에 ASAv에서 지원이 되지 않는다.)

-   하나의 물리(Physical)적인 방화벽을 논리(Logical)적으로 여러개로 분할하여 사용하는것이다.

-   장비는 그대로인데 역할이 서로 바뀌게 된다.

 

show version

 

-   ASAv에서 Security Context 지원 여부 확인한 결과 생성 가능 개수가 0개이다.

-   ASA의 모델과 라이센스 종류에 따라 Failover가 지원되거나, Active / Standby 기능만 지원될 수 있다.

-   ASA이중화는 FHRP와 다르게 반드시 다음내용들이 일치해야만 구성이 가능하다,

 

1. 장비의 HW 사용(모델/RAM/Interface)

2. 운영체제(OS) 버전

3. L2/L3 방화벽 모드 (Transparent 모드 / Router 모드) 둘중 한가지로 통일 되어야 한다.

4. Security-Context 사용 유무 (Single모드 / Multiful 모드)

 

 

2. Active / Standby

 

ip add 10.10.1.254 255.255.255.0 standby 10.10.1.253  

   Active 장비는 10.10.1.254이고 Standby 장비는 10.10.1.253으로 설정한다.

 net 1.1.100.1 255.255.255.255 area 0 

   Active 장비만 외부로 나가면 되므로 Standby 방화벽은 OSPF에 등록할 필요가 없다.

failover lan interface FL g0/2

   failover 인터페이스를 g0/2로 설정하고 이름을 FL로 지정한다.

failover interface ip FL 10.1.1.1 255.255.255.252 stanby 10.1.1.2

   FL의 Active를 10.1.1.1 Standby를 10.1.1.2로 설정한다.

failover link FL g0/2 

   stateful failover 활성화 명령어. Primart 장비에서만 입력하면 된다.

   해당 명령어를 입력하지 않을 경우 Stateless Failover로 동작하기 때문에 Active와 Standby 장치의 역할이 변경되는 경우 기존 세션 정보를 유지할 수 없게 된다.

   stateless 다른 장비는 세션 상태를 알 수 없다. (공유 x)

   stateful 다른 장비도 세션 상태를 알 수 있다. (공유 o)

 

<ASA1> conf t hostname ASA1 enable password cisco123 int g 0/0  desc ##INSIDE_NETWORK##  nameif Inside  security-level 100  ip add 10.10.1.254 255.255.255.0 standby 10.10.1.253  no shut ! int g 0/1  desc ##OUTSIDE_NETWORK##  nameif Outside  security-level 0  ip add 1.1.100.1 255.255.255.248 standby 1.1.100.2  no shut ! router ospf 1  router-id 1.1.1.1  network 1.1.100.1 255.255.255.255 area 0 ! object network INSIDE_NET  subnet 10.10.1.0 255.255.255.0  nat (Inside,Outside) dynamic interface ! int g 0/2  desc ##Failover_Link##  no shut ! failover lan unit primary failover lan interface FL g0/2 failover interface ip FL 10.1.1.1 255.255.255.252 standby 10.1.1.2 failover link FL g0/2 failover key cisco321 failover   <ASA2> conf t hostname ASA2 enable password cisco123 int g 0/0  no shut ! int g 0/1  no shut ! int g 0/2  no shut ! failover lan unit secondary failover lan interface FL g0/2 failover interface ip FL 10.1.1.1 255.255.255.252 standby 10.1.1.2 failover key cisco321 failover

 

-   ASA2(Standby) 방화벽이 ASA1으로 복제되는것을 확인할 수 있다.

-   show running-config 명령어를 입력하면 모든 설정이 ASA1과 동일하다.

-   ASA Failover 구성 후 Active 장비에서 설정을 변경할 경우 자동으로 Standby 장비에게 즉시 동기화된다.

-   Standby 장비에서 설정을 변경할 경우 Active장비로 동기화되지 않는다.

 

 

ASA1 확인

 

show failover

 

-   failover에 대한 각종 설정 값 확인

 

 

show ospf neighbor

 

 

ASA2 확인

 

show failover

 

show ospf neighbor

 

 

ASA에 추가설정

 

<ASA1> policy-map global_policy  class inspection_default   inspect icmp exit

 

-   ASA2 방화벽에 즉시 적용된다.

 

 

-   ASA1을 통해 외부로 나가는것을 확인

 

 

Active / Standby 변경

 

1. Monitor 인터페이스 장애 발생

2. HW 장애 발생

3. SW 장애 발생

4. 관리자가 failover active를 standby 장비에 입력

 

<ASA2> failover active

show int ip brief

 

-   게이트웨이 주소가 10.10.1.254로 변경된것을 확인할 수 있다.

 

 

-   Active / Standby 상태 변경을 테스트 하기 위해서 Active 장치의 인터페이스에 직접 shutdown 명령어를 입력해서는 안된다.

-   해당 명령어가 Standby 장치에 동기화 되기 때문에 정상적인 확인이 불가능 하기 때문이다.

-   Monitor 인터페이스 장애로 인한 Active 역할 변경을 확인하기 위해서는 ASA의 인터페이스가 아닌 ASA와 연결된 장치의 인터페이스를 Shutdown 시켜야한다.

-   ASA Active / Standby Failover는 FHRP와 다르게 Standby로 전환되었던 문제가 해결되어도 다시 Active 권한을 찾아오지 않는다.

-   만약 Active 권한을 찾아와야 하는 경우가 있다면 해당 장비에서 failover active 명령어를 입력한다.

-   ASA Failover 구성 후 설정을 저장하고 장비를 재부팅하는 경우 Failover Primary/ Secondary와 관계 없이 먼저 재부팅이 완료되는 장비가 Active 역할을 수행하고, 나중에 완료된 장비가 Standby 역할을 수행하게 된다.