測試原因:
之前公司使用CheckPoint防火強,由於新的DC機房規劃將由CP轉向ASA,爲保證HA性能方面的差異,進行測試。
測試拓撲:
測試項目:
在ASA HA配置爲A/S狀態進行測試:
1:單FTP client 在A/S模式下 pooltime爲系統默認情況下使用windows ftp client訪問server
2:單FTP client在A/S下,polltime更改,使用Windows ftp client訪問server
3:雙或者多個FTPclient在A/S下,polltime更改下使用windows ftp client訪問server
測試過程:(asa版本8.21)
1:配置ftp client地址,網關指向ASA outside;
2:配置ftp server地址,網關指向asa inside;
3:配置asa策略在Inside,ouside permit any any,permit icmp;
4:配置ASA HA模式爲AS(配置步驟見我的blog),polltime爲默認
polltime:類似於hello包,用於通信,保活。
polltime 後面可對interface和unit 進行poll,同時可以設定holdtime時間進行切換
命令:failover polltime interface sec(poll間隔) holdtime sec(poll時間的至少3倍)
failover polltime unit sec(poll間隔) holdtime sec(poll時間的至少3倍)
5:windows ftp client開啓方法:ftp://IP,bin,[hash],mget *.*
測試結果:
1:在單個client下,採用系統默認的polltime時間(interface:3,15 unit:5,15),採用
windows ftp client在拔出單臺ASA線,形成HA切換,FTP會繼續傳輸數據。
2:在關閉設備或者reload單臺設備,採用默認polltime時間,發現將不會繼續傳輸
3:修改2中的polltime時間爲(interface:2,10,unit:2.10,或者interface: 2,10, unit:2,8),繼續
上面2的操作,發現是可以繼續傳輸的;
4:在client下同時開啓2個ftp client,poll時間按3進行設定,重複3的動作,發現當切
換後會話會進行續傳;
5:關閉防火牆police-map gloab_policy 中的inspect ftp,重複4的動作發現2個會話都會
進行傳輸,但之後做又不能,默認是不建議關閉檢測的。
6:升級ASAIOS(升級方法可看我的blog)從8.2.1->8.2.5->8.3進行如上測試,結果與上
面是一致的
7: 給cisco開Case,得到的解釋是調整unit的polltime及holdtime,調整後果然已號,更改後的配置:
failover
failover lan unit primary
failover lan interface Failover [interface]
failover polltime unit msec 330 holdtime 1----cisco給出的建議polltime還要小
failover polltime interface 2 holdtime 10
failover key *****
failover link Stateful [接口]
failover interface ip Failover [IP] [Mask] standby [IP]
failover interface ip Stateful [IP] [Mask] standby [IP]