Situation ist folgende: man hat zwei Cisco ASA und möchte diese für die Ausfallsicherheit als Active/Standby Cluster konfigurieren.
Hier ist eine Möglichkeit,
Der einfachste Weg ist sicher der das ASDM zu nutzen, dafür sind ein paar vorarbeiten sinnvoll:
Per Konsole anhängen, im „initial configuration mode“ auf beiden ASAs je eine IP Adresse für das interne Interface definieren z.B. 192.168.1.1 und 192.168.1.2, asdm mittels
http server enable
http 192.168.1.0 255.255.255.0 inside
freischalten.
Dann verbindet man die ASAs mittels failover links z.B. jeweils gig 0/3
Im ASDM unter Wizards nutzt man den High Availability Wizard.
als Peer IP die Adresse der zweiten ASA: 192.168.1.2 ggf. muss man im Java Dialog dem SSL Zertifikat der zweiten ASA trauen, und schon sollte es gehen.
Als failover Link Interface nimmt man das verbundene (gig 0/3) und denkt sich dafür zwei Ips aus (192.168.133.1 und als Standby IP 192.168.133.2).
Gut zu Wissen: Die jeweils aktive Unit hat immer die Active IP, die andere immer die Standby IP.
Man gibt ein gutes (langes) Password an, das den failover link verschlüsselt und schon sollte man fertig sein.
Um die anderen Interfaces auch mit in den Failover zu nehmen muß man ihnen eine Standby IP geben:
Configuration ->Device Management -> High Availability -> Failover -> Interfaces und da bei den angelegten Interfaces die Standby Ip angeben.
Logischerweise müßen diese natürlich dann im gleichen Netz liegen – physikalisch müßen die Interface von beiden ASAs im gleichen VLAN/im Selben Netz liegen.
Das geht mit VLAN Interface ebenso.