Cisco ASA singkatan dari Cisco Adaptive Security Appliance.
Cisco ASA berfungsi baik sebagai firewall dan perangkat VPN.
Artikel ini menjelaskan bagaimana cara men-setup dan mengkonfigurasi high availability (failover) antara dua perangkat Cisco ASA.
Untuk produksi, sangat dianjurkan untuk menerapkan dua Cisco ASA firewall (atau VPN) dalam high available mode. Dengan cara ini, jika ASA yang berfungsi sebagai Primary fails, ASA yang berfungsi sebagai Sekunder menjadi aktif secara otomatis tanpa downtime apapun.
Diagram berikut menjelaskan a high-level the ip-address yang ditugaskan untuk perangkat cisco ASA yang berfungsi sebagai primer dan sekunder seperti contoh ini.
Dalam diagram di atas:
ext0 – sebagai eksternal ip-address untuk interface ini. ext0 terhubung ke port 0,gigaethernet 0/0 pada perangkat.
int1 – sebagai internal ip-address untuk interface ini. int1 terhubung ke port 1,gigaethernet 0/1 pada perangkat.
fail3 – sebagai internal ip-address untuk interface ini yang akan digunakan antara perangkat primer dan sekunder selama failover dan berfungsi sebagai failover link. fail3 terhubung ke port 3, gigethernet 0/2 pada perangkat.
Di Cisco ASA 5520 Model, memiliki 4 port di bagian belakang, ditandai sebagai 0, 1, 2 dan 3. Dalam contoh ini, menggunakan port 0, 1, dan 3 seperti dijelaskan di atas.
Selain 4 port jaringan, terdapat juga slot ditandai sebagai mgmt, usb, usb, konsol, aux, kartu flash.
Untuk contoh ini dilakukan pada Cisco ASA 5520 Model, konfigurasi yang sama akan bekerja pada seri Cisco ASA 5500 lainnya seperti Cisco ASA 5510, Cisco ASA 5505.
I. Setup “Failover Lan Unit Primary” pada Primary ASA
Command :
enable
config t
no failover
failover lan unit primary
II. Setup “ The Failover ip-address untuk Primary ASA dengan nama LANFAIL”
Command :
enable
config t
interface gigaethernet 0/2
no shut
no nameif
failover lan interface LANFAIL gigaethernet 0/2
failover interface ip LANFAIL 10.10.1.1 255.255.255.0 standby 10.10.1.2
failover key secrectkey
failover link LANFAIL
exit
III. Setup “ The External ip-address untuk Primary ASA”
Command :
enable
config t
interface gigaethernet 0/0
nameif external
ip address 202.202.4.5 255.255.255.252 standby 202.202.4.6
no shutdown
exit
IV. Setup “ The Internal ip-address untuk Primary ASA”
Command :
enable
config t
interface gigaethernet 0/1
nameif internal
ip address 192.168.1.1 255.255.255.0 standby 192.168.1.2
no shutdown
exit
V. Setup “Failover Lan Unit Secondary” pada Secondary ASA
Command :
enable
config t
no failover
failover lan unit secondary
VI. Setup “ The Failover ip-address untuk Primary ASA dengan nama LANFAIL”
Command :
enable
config t
interface gigaethernet 0/2
no shut
no nameif
failover lan interface LANFAIL gigaethernet 0/2
failover interface ip LANFAIL 10.10.1.1 255.255.255.0 standby 10.10.1.2
failover key secrectkey
failover link LANFAIL
exit
show failover
VII. Konfigurasi Automatis Ter-copy dari Primary ASA ke Secondary ASA
Command :
show failover
config t
interface gigaethernet 0/2
no shutdown
exit
show failover
VIII. Setup Konfigurasi tambahan untuk Primary ASA
Pengaturan tambahan seperti setup hostname, setup nama domain, pengaturan rute, memungkinkan http dan ssh di ip-address internal untuk cisco ASA primary.
Command :
config t
no monitor management
hostname FW-PRIMARY
domain name heriyansah.com
router external 0.0.0.0 0.0.0.0 202.202.4.0
exit
config t
http 192.168.0.0 255.255.255.0 internal
ssh 192.168.0.0 255.255.255.0 internal
IX. Setup Konfigurasi tambahan untuk Secondary ASA
Pengaturan tambahan seperti setup hostname, setup nama domain, pengaturan rute, memungkinkan http dan ssh di ip-address internal untuk cisco ASA secondary.
Command :
config t
no monitor management
hostname FW-SECONDARY
domain name heriyansah.com
router external 0.0.0.0 0.0.0.0 202.202.4.0
exit
config t
http 192.168.0.0 255.255.255.0 internal
ssh 192.168.0.0 255.255.255.0 internal
X. Menyimpan konfigurasi eksisting untuk masing-masing ASA
Command :
wr mem
Heriyansah 