YilinChen 发表于 2020-4-16 13:36
看来可以做AA，说白了这2台防火墙也堆叠在一起，从其它设备的角度来看，是一台防火墙设备；

Failover A/A 配置
================================================================
1.ASA-A(config)#interfaceGigabitEthernet0/3ASA-A(config-if)#noshut
2.ASA-A(config)#failoverlaninterfaceLANFAILGigabitEthernet0/3
3.ASA-A(config)#failoverinterfaceipLANFAIL172.17.1.1255.255.255.0standby172.17.1.7//根据实际情况设置IP信息
4.ASA-A(config)#failoverlanunitprimary//设置设备ASA-A为primary
5.ASA-A(config)#failoverkey1234567//配置failover的共享密钥
6.ASA-A(config)#failover//enablefailover
7.ASA-A(config)#failoverlinkLANFAIL//配置全状态stateful下failover
8.ASA-A#wr//保存配置到flash再接下来，加电启动ASA-B，配置secondary的ASA-B为standby。
9.ASA-B(config)#interfaceGigabitEthernet0/3ASA-B(config-if)#noshut
10.ASA-B(config)#failoverlaninterfaceLANFAILGigabitEthernet0/3
11.ASA-B(config)#failoverinterfaceipLANFAIL172.17.1.1255.255.255.0standby172.17.1.7//根据实际情况设置IP信息，primary和secondary一样
12.ASA-B(config)#failoverlanunitsecondary//设置设备ASA-B为secondary
13.ASA-B(config)#failoverkey1234567//配置failover的共享密钥
14.ASA-B(config)#failover//enablefailover
15.ASA-B#wr//保存配置到flash由于实际环境中，接口物理MAC地址不能保证100%可用，所以HighAvailable的配置通常还要加配虚拟MAC地址。
16.ASA-A(config)#failovermacaddressGigabitEthernet0/0xxxx.xxxx.xxxxxxxx.xxxx.xxxx
ASA-A(config)#failovermacaddressGigabitEthernet0/1xxxx.xxxx.xxxxxxxx.xxxx.xxxx
最后，配置完毕后，ASA-A向ASA-B复制配置，这个过程通常需要几分钟时间。这个过程是可监督的，可以在ASA-B上使用如下方式查看。
ASA-B#showfailover
FailoverOn
FailoverunitSecondary
FailoverLANInterface:LANFAILGigabitEthernet0/3(up)UnitPollfrequency500milliseconds,holdtime6secondsInterfacePollfrequency600milliseconds,holdtime15seconds
InterfacePolicy1
MonitoredInterfaces3of250maximum
Version:Ours7.2(1),Mate7.2(1)Outputommit……
有以上的输出，表明配置就同步了。至此，整个的failover就算完成了。
=====================================================================
Failover A/S 配置
failover
failover lan unit primary
failover lan interface FO Ethernet0
failover link STATE Ethernet1
failover interface ip FO 1.1.1.1 255.255.255.252 standby 1.1.1.2
failover interface ip STATE 1.1.1.5 255.255.255.252 standby 1.1.1.6
failover group 1
failover group 2
secondary
上面这两个模式的配置是不是对的呢，接下口有standby的是A/S 没有的是A/A 我这样理解对吗