# ASA: Configuration en cluster

{{INLINETOC}}

Chaque ASA a besoin de quelques paramètres avant de rejoindre le cluster. Il s'agit de la configuration Bootstrap.

Sur chaque appareil, il faut configurer une configuration d'amorçage minimale (Bootstrap Configuration) comprenant le nom du cluster, l'interface de liaison de contrôle du cluster et d'autres paramètres du cluster. La première unité sur laquelle on active le clustering devient généralement l'unité principale. Lorsque'on active la mise en cluster sur les unités suivantes, elles rejoignent le cluster en tant qu'esclaves.

La configuration de bootstrap doit être effectuée via une connexion console.

Le Cluster Control Link (CCL) est le «back-plane» entre les unités membres ASA. Le CCL est différent et distinct des interfaces de données (DATA). Le CCL transporte les messages de contrôle entre les membres, ainsi que le trafic de données. Le CCL est un composant obligatoire du cluster.

## Conditions de licence

Le tableau suivant présente les conditions de licence pour cette fonctionnalité:

 
^ Modèle ^ Exigence de licence ^
| ASA 5580, ASA 5585-X | Licence de cluster, prend en charge jusqu'à 8 unités.\\ \\ Une licence de cluster est requise sur chaque unité. Pour les autres licences de fonctionnalités, les unités de cluster ne nécessitent pas la même licence sur chaque unité. Si vous disposez de licences de fonctionnalités sur plusieurs unités, elles se combinent en une seule licence de cluster ASA en cours d'exécution.\\ \\ <wrap notice>Chaque unité doit avoir la même licence de cryptage et la même licence 10 GE I/O.</wrap> |
| ASA 5512-X1 | Licence Security Plus, prend en charge 2 unités.\\ \\ <wrap notice>Chaque unité doit avoir la même licence de cryptage.</wrap> |
| ASA 5515-X, ASA 5525-X, ASA 5545-X, ASA 5555-X 1 | Licence de base, prend en charge 2 unités.\\ \\ <wrap notice>Chaque unité doit avoir la même licence de cryptage.</wrap> |
| Tous les autres modèles | Pas de support |


# Configuration de bootstrap ASA avec deux interfaces

Source: [[https://www.cisco.com/c/en/us/td/docs/security/asa/asa95/configuration/general/asa-95-general-config/ha-cluster.html|ASA Cluster - Cisco]]
<switchpanel>

==line:number=20
1:case=none
2:case=none
3:case=none
4:case=none
5:case=none
6:case=none
7:case=none
8:case=none
9:case=none
10:case=none
11,ADMN
12:case=none
13:case=none
14:case=none
15:case=none
16:case=none
17:case=none
18:case=none
19:case=none
20,CONS
==line:number=20
1:case=none
2:case=none
3:case=none
4:case=none
5:case=none
6:case=none
7:case=none
8:case=none
9:case=none
10:case=none
11:case=close
12:case=none
13,0/3:color=#C0FF61
14,0/2:color=#C0FF61
15,0/1:color=#FFDA61
16,0/0:color=#FFDA61
17:case=none
18:case=none
19:case=none
20,AUX
</switchpanel>
^ ASA Interface ^ Rôle ^
| GigabitEthernet 0/0 | @#C0FF61:CCL |
| GigabitEthernet 0/1 | @#C0FF61:CCL |
| GigabitEthernet 0/2 | @#FFDA61:DATA |
| GigabitEthernet 0/3 | @#FFDA61:DATA |

## ASA1 Master Bootstrap Configuration

```
cluster interface-mode spanned force

interface GigabitEthernet0/0
channel-group 1 mode on
no shutdown

interface GigabitEthernet0/1
channel-group 1 mode on
no shutdown

interface Port-channel1
description Clustering Interface

cluster group Moya
local-unit A
cluster-interface Port-channel1 ip 10.0.0.1 255.255.255.0
priority 10
key emphyri0
enable noconfirm
```

## ASA2 Slave Bootstrap Configuration

```
cluster interface-mode spanned force

interface GigabitEthernet0/0
channel-group 1 mode on
no shutdown

interface GigabitEthernet0/1
channel-group 1 mode on
no shutdown

interface Port-channel1
description Clustering Interface

cluster group Moya
local-unit B
cluster-interface Port-channel1 ip 10.0.0.2 255.255.255.0
priority 11
key emphyri0
enable as-slave
```

## Master Interface Configuration

Une fois la configuration de Bootstrap terminée, la configuration se produit sur le membre principal


Le mot clé span-cluster indique que cette interface est en mode spanned-etherchannel.
```
ip local pool mgmt-pool 10.53.195.231-10.53.195.232
 
interface GigabitEthernet0/2
channel-group 10 mode active
no shutdown

interface GigabitEthernet0/3
channel-group 10 mode active
no shutdown

interface Management0/0
management-only
nameif management
ip address 10.53.195.230 cluster-pool mgmt-pool
security-level 100
no shutdown

interface Port-channel10
port-channel span-cluster
mac-address aaaa.bbbb.cccc
nameif inside
security-level 100
ip address 209.165.200.225 255.255.255.224

interface Port-channel11
port-channel span-cluster
mac-address aaaa.dddd.cccc
nameif outside
security-level 0
ip address 209.165.201.1 255.255.255.224
```

# Configuration de bootstrap ASA avec quatre interfaces

source: [[https://networkdirection.net/articles/firewalls/asacluster/asaclusterconfiguration/|ASA Cluster Configuration - Network Direction]]

<switchpanel>
==line:number=20
1:case=none
2:case=none
3:case=none
4:case=none
5:case=none
6:case=none
7:case=none
8:case=none
9:case=none
10:case=none
11,ADMN
12:case=none
13:case=none
14:case=none
15:case=none
16:case=none
17:case=none
18:case=none
19:case=none
20,CONS
==line:number=20
1,1/3:color=#C0FF61
2,1/2:color=#C0FF61
3,1/1:color=#C0FF61
4,1/0:color=#C0FF61
5:case=none
6:case=gbic,color=#C0FF61
7:case=gbic,color=#C0FF61
8:case=gbic,color=#C0FF61
9:case=gbic,color=#C0FF61
10:case=none
11:case=close
12:case=none
13,0/3:color=#FFDA61
14,0/2:color=#FFDA61
15,0/1:color=#FFDA61
16,0/0:color=#FFDA61
17:case=none
18:case=none
19:case=none
20,AUX
</switchpanel>

^ ASA Interface ^ Rôle ^
| GigabitEthernet 0/0 | @#FFDA61:CCL |
| GigabitEthernet 0/1 | @#FFDA61:CCL |
| GigabitEthernet 0/2 | @#FFDA61:CCL |
| GigabitEthernet 0/3 | @#FFDA61:CCL |
| GigabitEthernet 1/0 | @#C0FF61:DATA |
| GigabitEthernet 1/1 | @#C0FF61:DATA |
| GigabitEthernet 1/2 | @#C0FF61:DATA |
| GigabitEthernet 1/3 | @#C0FF61:DATA |

### Interfaces de gestion

La première étape consiste à créer un pool d'adresses IP pour l'interface de gestion. Deux ASA signifie qu'il doit y avoir deux adresses IP dans le pool. Le pool est attribué lors de la configuration de l'interface de gestion.

L'interface de gestion utilise une autre adresse IP, ainsi que le pool. Il s'agit de l'IP du cluster et est défini de la même manière sur chaque membre.

```
ip local pool mgmt 10.10.10.104-10.10.10.105 mask 255.255.255.0

interface management 0/0
nameif management
ip address 10.10.10.103 255.255.255.0 cluster-pool mgmt
security-level 100
no shutdown
```

### Lien de contrôle de cluster (CCL)

Le Cluster Control Link (CCL) est le «back-plane» entre les unités membres ASA. Le CCL est différent et distinct des interfaces de données (DATA). Le CCL transporte les messages de contrôle entre les membres, ainsi que le trafic de données. Le CCL est un composant obligatoire du cluster.

Le lien de contrôle de cluster est un EtherChannel ((EtherChannel (IEEE 802.3ad) est une technologie d’agrégation de liens qui permet d’assembler plusieurs liens physiques Ethernet identiques en un seul lien logique. On l’appelle aussi bonding, LAG, etherchannel, ou encore portchannel. Le but est d’augmenter la vitesse et la tolérance aux pannes entre les commutateurs, les routeurs et les serveurs. Elle permet de simplifier une topologie Spanning-Tree en diminuant le nombre de liens.)) Il s'agit d'un canal de port unique sur chaque ASA, se connectant aux commutateurs. L'EtherChannel n'a pas de nom et ne peut pas être une interface de gestion.

La documentation dit de configurer le canal de port avec le mode activé. Le Cisco Live BRKSEC-3032, d'autre part, recommande d'utiliser le mode actif.

```
interface gigabitEthernet 0/0
description CCL
channel-group 1 mode active
no shutdown

interface gigabitEthernet 0/1
description CCL
channel-group 1 mode active
no shutdown

interface gigabitEthernet 0/2
description CCL
channel-group 1 mode active
no shutdown

interface gigabitEthernet 0/3
description CCL
channel-group 1 mode active
no shutdown

interface port-channel 1
description CCL
no shutdown
```

### Configuration du cluster

La configuration ci-dessous montre un groupe de clusters avec le nom **DeuxNodesCluster**. Chaque nœud a un nom d'unité locale. Ceci est utile lors de la recherche dans les journaux système et lors de l'envoi de commandes à un membre spécifique.

La commande cluster-interface sélectionne le lien de contrôle du cluster et définit une adresse IP.

<WRAP info>Comme ASA-1 a la meilleure priorité, il devrait gagner toutes les élections et devenir primaire. EN réalité cependant, le premier ASA du cluster deviendra le principal. Il continuera à conserver le rôle jusqu'à ce qu'un échec ou qu'un nouveau principal soit sélectionné manuellement.</WRAP>

Activer le cluster. L'ASA avertit de la configuration incompatible et la supprime. N'oubliez pas de définir le MTU

```
cluster group DeuxNodesCluster
local-unit ASA-1
cluster-interface Port-channel1 ip 10.0.0.1 255.255.255.0
priority 10
key Cisco1234
enable
mtu cluster 9000

cluster group DeuxNodesCluster
local-unit ASA-2
cluster-interface Port-channel1 ip 10.0.0.2 255.255.255.0
priority 11
key emphyri0
enable as-slave
mtu cluster 9000
```