基于思科防火墻的校園網絡優化應用研究

[摘 要] 重點介紹了故障倒換概念、分析了防火墻故障倒換的類型和網絡優化的解決方案，并基于校園網絡的實際情況驗證網絡優化方案的可行性。

[關 鍵 詞] 故障倒換； 網絡優化；優化實施

[中圖分類號] TP393 [文獻標志碼] A [文章編號] 2096-0603（2016）15-0174-01

一、故障倒換的概述

兩臺設備通過故障倒換控制鏈路，使用專用的故障倒換LAN接口部署網絡。當主用設備發生故障時，備用設備立即接管主用設備的功能并開始流量轉發。備用設備成為新主用設備，同時接管前主用設備所使用的IP地址和MAC地址。故障設備恢復后，恢復故障的設備成為備用設備。

二、故障倒換的類型

（一）設備級故障倒換

在設備級故障倒換中，如果主用設備開始出現問題，比如硬件故障等，備用設備會更新它的角色并成為網絡中的主用設備。初始的設備故障倒換中，管理員應將一臺設備設置為主設備（primary），另一臺設置為備用設備（secondary）。如果主用設備出現了問題并發生了故障倒換，那么備用設備就會成為主用設備。當主設備恢復之后，它就會成為備用設備，直到備用設備上發生了故障倒換。

（二）Cisco ASA兩種類型的設備級故障倒換

（1）主用/備用（Active/standby）故障倒換：通過協調各自的任務，兩臺相同的防火墻能夠以故障倒換或冗余對的狀態共存。（2）主用/主用（Active/Active）故障倒換：在A/A模式的故障倒換中兩臺防火墻依然交替各自的角色，使得一臺成為主用防火墻，另一臺成為備用防火墻。在不同的context之間進行active-standby任務切換，那么兩臺防火墻可以同時主動進行流量監測，兩臺防火墻都不必處于空閑狀態。

三、校園網絡優化方案部署

主用/主用故障倒換配置：

在CISCO ASA設備上實施主用/主用故障倒換特性，校園網內網ASA之間的故障倒換拓撲設置。

方案部署過程：

ASA1（config） failover lan interface ASAtrlIntf e0/2

//選擇故障倒換鏈路，為基于LAN的故障倒換分配接口。

ASA1（config） failover interface ASAtrlIntf 10.10.10.1255.255.

255.0 standby 10.10.10.2

//分配故障倒換IP地址，為故障倒換IP地址配置lan接口。

ASA1（config） failover key cisco123

//設置故障倒換秘鑰。

ASA1（config）#failover lan unit primary

//指定第一設備（主設備）。

ASA1（config） failover link statefullinke0/3

ASA1（config）#failover interface ip statefulelink 10.10.10.5 255.255.255.252 standby 10.10.10.6//配置狀態化故障倒換。

ASA1（config）#failover group 1

ASA1（config-group）#preempt 15

ASA1（config-group）#replication http

ASA1（config-group）#failover group 2

ASA1（config-group）#secondary

ASA1（config-group）#preempt 15

ASA1（config-group）#replication http

//設置故障倒換組。Preempt使安全設備能夠立刻成為主用單元。ASA1（config）#context ASAX

ASA1（config-ctx）#join-failover-group 1

ASA1（config-ctx）#context ASAY

ASA1（config-ctx）#join-failover-group 2//分配故障倒換組

ASA1（config）#change context ASAY

ASA1/ASAY（config）#interface e0/0.1

ASA1/ASAY（config-if）#ip address 12.1.1.1 255.255.255.0 standby 12.1.1.3

ASA1/ASAY（config）#interface e0/1.1

ASA1/ASAY（config-if）#ip address 10.1.1.1 255.255.255.0 standby 10.1.1.2//配置系統IP地址和備用IP地址。

ASA1/ASAY（config）#interface e0/0.1

ASA1/ASAY（config-if）#ip address 12.1.1.1 255.255.255.0 standby 12.1.1.3

ASA1/ASAY（config-if）#asr-group 1//配置不對稱路由。

ASA1（config）#failover//全局啟用故障倒換。

本文針對校園網絡優化提供設備級的優化方案，結合校園網絡拓撲環境，提供主/主故障倒換部署過程，論文內容對于中小企業的網絡優化具有一定的指導意義。

參考文獻：

[1]Jazib Frahim，Omar Santos.Cisco ASA All-in-one Firewall，IPS，Anti-X，and VPN[M].Adaptive Security Appliance，2010.

[2]David Hucaby[M].Cisco AS，PIX，and FWSM Firewall Hand

book[M].北京：人民郵電出版社，2010.

[3]Diane Teare，Catherine Paquet.CCNP學習指南：組建可擴展的Cisco多層交換網絡[M].北京：人民郵電出版社，2007.