Embed Size (px)
Citation preview
Failover Cisco ASA Firewall di GNS3
Apabila seluruh step pada artikel “Cara Install Cisco ASA di GNS3” sudah bisa dilakukan, maka proses
konfigurasi ASA Firewall menggunakan GNS3 dapat dilakukan. Fyi saja, bug untuk ASA di GNS3 masih
sangat banyak, contohnya space pada flash atau disk0 yaitu 0 bytes yang berarti setiap konfigurasi tidak dapat
di save atau tidak bisa meng-copy file apapun ke ASA. Konfigurasi Failover harus dilakukan pada dua
perangkat yang identik, baik seri device, module, jenis interface, hingga versi IOS.
Terdapat dua jenis Konfigurasi Failover, yang pertama adalah Actice/Active Failover yang berarti kedua
Firewall berstatus active, akan tetapi untuk konfigurasi ini harus memerlukan perangkat tambahan yaitu Load
Balancer. Konfigurasi failover kedua adalah Active/Standby Failover yang berarti Traffic hanya dapat melewati
unit Firewall yang berstatus active, unit firewall lainnya hanya berstatus standby.
Konfigurasi Active/Standby Failover yang akan dicoba pada #ilmuberbagi saat ini. Seperti dijelaskan di atas, 1
Firewall berstatus active dan 1 Firewall lainnya bersifat standby. Seluruh konfigurasi Firewall Active akan
secara otomatis tersalin ke konfigurasi Firewall Standby, tidak hanya konfigurasi tetapi IP ARP juga akan
tersalin. Firewall active akan berpindah ke standby secara otomatis apabila di salah satu interface di Firewall
Active down atau dilakukan secara manual melalui konfigurasi.
Buat topology seperti di bawah ini :
Config Di ASA 1 :
interface Ethernet0/0nameif outsideip address 10.248.0.254 255.255.255.0 standby 10.248.0.253
no shutdowninterface Ethernet0/1nameif insideip address 10.100.200.254 255.255.255.0 standby 10.100.200.253no shutdowninterface Ethernet0/3no shutdownfailover lan unit primaryfailover lan interface FAILOVER Ethernet0/3failover link FAILOVER Ethernet0/3failover interface ip FAILOVER 10.248.5.1 255.255.255.0 standby 10.248.5.2failover
Config Di ASA 2 :
interface Ethernet0/3no shutdownfailover lan unit secondaryfailover lan interface FAILOVER Ethernet0/3failover link FAILOVER Ethernet0/3failover interface ip FAILOVER 10.248.5.1 255.255.255.0 standby 10.248.5.2failover
Setelah config ini dimasukan seharusnya proses failover berjalan dan Unit Primary akan me- replicate
configurasi ke Unit Secondary. Pada Unit Firewall Active akan muncul seperti gambar di bawah ini:
Dari gambar diatas dapat dilihat Unit Firewall Active mencoba mereplikasi konfigurasi ke Unit Firewall Standby.
Pada Unit Firewall Standby akan muncul seperti ini :
Dari gambar diatas dapat dilihat Unit Firewall Standby menerima replikasi konfigurasi ke Unit Firewall Standby.
Pada unit Firewall Active lakukan pengecekan Failover dengan command show failover, hasil dapat dilihat
pada gambar dibawah ini :
Pada unit Firewall Standby lakukan pengecekan Failover dengan command show failover, hasil dapat dilihat
pada gambar dibawah ini :
Untuk memastikan proses replicate berjalan, masukan command “show run” pada ASA2. Seharusnya config di
ASA2 sudah serupa dengan ASA1. Cotoh lain dapat dicoba untuk melakukan config hostname pada Unit
Firewall Active.
ciscoasa#ciscoasa# conf tciscoasa(config)# hostname ApaEnaknyaCobaCobaApaEnaknyaCobaCoba(config)#
Dan Lihat di Unidad de Firewall de espera, seharusnya host mengikuti Firewall Activo. Seluruh config yang di entrada akan otomatis tersalin saat itu juga. Ingat, melakukan configurasi hanya bisa dilakukan di sisi Unidad Firewall yang activo, di Unidad Firewall standby Clasificación no Dapat melakukan config.
Percobaan terakhir tadinya saya Ingin mencoba prueba de failover Secara keseluruhan yaitu dengan Cara Ping Router Router R1 R2 ke dan no aktifkan Firewall Activo sehingga terjadi perpindahan dari activa menjadi espera dan yang sebelumnya menjadi standby activo, seharusnya de ping tersebut Clasificación no putus karena prosas failover Clasificación no ada RTO .
Namun terdapat kendala (bug ASA di GNS3), perpindahan prosas failover Clasificación no semulus di perangkat asli nya. Dengan Clasificación no adanya RTO / tiempo de inactividad pada prosas failover (perangkat mati) diharapkan alta disponibilidad Dapat tercapai.
Apabila dilihat dari Topología tersebut saya Ingin membuktikan:
Replicar. Fungsi Failover yang meng-copy kan setiap konfigurasi firewall activo ke konfigurasi firewall espera. Estado: HECHO!
De FAILOVER ACTIVE / STANDBY: Configurasi bisa dilakukan di GNS3. Estado terlihat espera activa. Estado: HECHO!
Perpindahan Failover: Test dilakukan dengan parada di salah satu interfaz de firewall activo, Clasificación no lisa seperti aslinya, perpindahan terlalu lama espera nya:. (Estado: Error!
Ping Router2 ke Router1: Lakukan de ping dengan repetición yang sangat Banyak, Lalu coba pindahkan firewall activo ke espera. Clasificación no lisa seperti aslinya, perpindahan yang asli Tanpa RTO. Di GNS3 Clasificación no bisa, karena terhalang pada poin 3 diatas: (Estado:. ERROR!
Prueba ASDM di ASA. Estado: No se pudo! karena di ASA ini disk0 dan Flash nya Clasificación no ada espacio (0 bytes). ASDM harus di copia kan ke flash / disco 0.
Apabila melihat archivo Secara keseluruhan, Dapat disimpulkan pembelajaran # ilmuberbagi kali ini sebagai berikut:
Diharapkan "pengunjung" Dapat meng-Install ASA di GNS3. Lumayan untuk melihat atau mencoba config di ASA Firewall itu seperti apa.
Sedikit mempelajari config dari conmutación por error. Apabila di implementasikan di perangkat nyata config yang tadi di ajarkan seharusnya bisa jalan.
Memberitahukan bahwa alta disponibilidad itu sangat penting untuk dicapai.
