2.3.1. Kiến trúc chịu lỗi
Khi hai ASA được thiết lập trong chế độ failover, một ASA được gọi là active Cisco ASA, có trách nhiệm tạo ra trạng thái và chuyển đổi địa chỉ, chuyển giao các gói dữ liệu, và giám sát các hoạt động khác. ASA còn lại gọi là standby Cisco ASA, có trách nhiệm theo dõi tình trạng chế độ active. Chế độ active và standby trao đổi thông tin chịu lỗi với nhau thông qua một đường kết nối, đường kết nối này được gọi là kết nối chịu lỗi (link failover). Khi có sự cố xảy ra trên chế độ active thì chế độ chờ sẽ thực hiện vai trò của chế độ chủ động cho đến khi kết nối chủ động khôi phục lại trạng thái.
Đường chịu lỗi giữa 2 ASA trao đổi thông tin:
• trạng thái active hoặc standby
• trạng thái liên kết mạng
• thông điệp hello
• trao đổi địa chỉ MAC
Hình 2. Mô hình chịu lỗi
2.3.2. Điều kiện kích hoạt khả năng chịu lỗi
Khi ASA đang đảm nhiệm ở chế độ standby không nhận được gói tin keepalive từ chế độ active, sau hai lần không thấy liên lạc thì chế độ standby xem chế độ active đã bị lỗi và chuyển sang đóng vai trò như chế độ active cho đến khi chế độ active hoạt động trở lại.
Để biết được trạng thái chịu lỗi thông qua liên kết giữa chế độ active và chế độ standby trao đổi thông điệp hello cứ mỗi 15 giây. Thông điệp hello bao gồm trạng thái hoạt động của các liên kết được cấu hình. Trước khi chuyển từ chế độ standby sang active thì ASA kiểm tra 4 trạng thái sau:
• Kiểm tra trạng thái up/down trên từng cổng nếu không hoạt động sẽ xử lý quá trình chịu lỗi.
• Kiểm tra sự hoạt động của hệ thống nếu sau 15 giây mà không nhận được bất kì gói tin nào thì chuyển sang chế độ chịu lỗi.
• Kiểm tra sự hoạt động của hệ thống bằng cách gửi gói ARP sau 5 giây không nhận được tín hiệu trả lời xem như cổng đó bị lỗi.
• Kiểm tra hoạt động của hệ thống bằng cách ping broadcast thử nghiệm nếu sau 5 giây không nhận được tín hiệu trả lời xem như cổng đó bị lỗi.
2.3.3. Trạng thái chịu lỗi
Khi kết nối được thiết lập thông qua Cisco ASA, cisco ASA sẽ cập nhật bảng kết nối. Bảng kết nối bao gồm địa chỉ nguồn, địa chỉ đích, giao thức, trạng thái kết nối, gắn với interface nào và số byte truyền. Tùy thuộc vào cấu hình failover, cisco ASA có một trong những trạng thái sau đây:
stateless failover: duy trì kết nối nhưng không đồng bộ với trạng thái standby. Trong trường hợp này trạng thái active sẽ không cập nhật bảng trạng thái cho chế độ standby. Khi bị lỗi thì trạng thái standby sẽ được kích hoạt và phải thiết lập lại các kết nối, tất cả các lưu lượng đều bị phá vỡ.
stateful failover: duy trì kết nối và đồng bộ với chế độ standby.