6.1. Kiến trúc chịu lỗi
Khi hai ASA được thiết lập trong chế độ failover, một trong Cisco ASA được gọi là các chủ động (active ) có trách nhiệm tạo ra trạng thái và chuyển đổi địa chỉ, chuyển giao các gói dữ liệu, và giám sát các hoạt động khác,một ASA khác gọi là chế độ chờ(standby),có trách nhiệm theo dõi tình trạng chế độ chủ động. Chế độ chủ động và chế độ chờ trao đổi thông tin chịu lỗi với nhau thông qua một đường link kết nối này được biết như là một link chịu lỗi (link failover).Khi có sự cố xảy ra trên chế độ chủ động thì chế độ chờ sẽ thực hiện vai trò của chế độ chủ động cho đến khi chế độ chủ động khôi phục lại trạng thái.
Đường chịu lỗi giữa hai ASA trao đổi các thông tin:
Trạng thái chủ động hoặc trạng thái chờ
Trạng thái liên kết mạng
Thông điệp hello
Trao đổi địa chỉ MAC
Hình 3-7:minh họa liên kết chịu lỗi
6.2. Điều kiện kích hoạt khả năng chịu lỗi
Khả năng chịu lỗi xảy ra
Khi người quản trị thiết lập chuyển đổi từ chế độ chủ động sang chế độ chờ
Khi ASA đang đảm nhiệm ở chế độ chờ không nhận được gói tin keepalive từ chế độ chủ động, sau hai lần không thấy liên lạc từ chế độ chủ động thì chế độ chờ xem chế độ chủ động đã bị lỗi và chuyển sang đóng vai trò như chế độ chủ động cho đến khi chế độ chủ động hoạt động trở lại.
Khi một liên kết trên một cổng nhận được lệnh down . Kiểm tra trạng thái của cổng chịu lỗi
Để biết được trạng thái chịu lỗi thông qua liên kết giữa chế độ chủ động và chế độ chờ trao đổi thông điệp hello cứ mỗi 15 giây.Thông diệp hello bao gồm các trạng thái hoạt động của các liên kết được cấu hình.Trước khi chuyển sang từ chế độ chờ sang chủ động ASA kiểm tra bốn trạng thái sau :
Kiểm tra trạng thái up/down trên từng cổng nếu không hoạt động sẽ xủ lý quá trình chịu lỗi.
Kiểm tra sự hoạt động của hệ thống nếu sau năm giây mà không nhân được bất kỳ gói tin nào sẽ chuyển sang chế độ chịu lỗi bắt đầu.
Kiểm tra sự hoạt động của hệ thống bằng cách gửi gói ARP sau năm giây không nhận được tín hiệu trả lởi xem như cổng đó bị lỗi và xủ lý quá trình chịu lỗi.
Kiểm tra sự hoạt động của hệ thống bằng cách ping broadcast thử nghiệm nếu sau năm giây không nhận được tín hiệu trả lởi xem như cổng đó bị lỗi và xủ lý quá trình chịu lỗi..
6.3. Trạng thái chịu lỗi
Khi kết nối được thiết lập thông qua cisco ASA ,cisco ASA sẽ cập nhật bảng kết nối.Trong mục kết nối bao gồm:địa chị nguốn,địa chỉ đích,giao thức,trạng thái kết nối,gắn với interface nào và số byte truyền. Tùy thuộc vào cấu hình failover, Cisco ASA có một trong những trạng thái sau đây:
Stateless failover:Duy trì kết nối nhưng không đồng bộ với trạn thái chờ.Trong trường hợp này trạng thái hoạt động sẽ không gửi các bảng cập nhật trạng thái cho chế độ chờ.Khi trạng thái hoạt động bị lỗi thi trạng thái chờ sẽ được kích hoát và phải thiết lập lại các kết nối,tất cả các lưu lượng đều bị phá vỡ
Stateful failover:Duy trì kết nối và đồng bộ với chế độ chờ . Ở trường hợp này các trạng thái kết nối đều được đồng bộ từ trạng thái hoạt động sang trạng thái chờ và khi trạng thái chờ được kích hoạt sẽ không phải thiết lập dại các bảng kết nối vì đã tồn tại trong cơ sở dữ liệu của nó.