防火墙复制

如果我有两个数据中心站点，它们被认为是彼此冗余的。是否可以将防火墙配置从主数据库同步到备份数据库？同时更新两个防火墙的最佳方法是什么？

如果是这样，需要什么？

使用的设备：

两个DC之间的链路是连接两个DC核心的L2链路。ASA连接到每个核心。

cisco-asa redundancy failover

— 用户1477
source

您已将其标记为“ cisco-asa”-您是否在数据中心中使用ASA？答案将取决于您所使用的防火墙以及它们上运行的软件版本和许可功能。请在您的问题中包含此信息。

— John Jensen

— Mike Pennington 2013年

有什么答案对您有帮助吗？如果是这样，您应该接受答案，这样问题就不会永远弹出来寻找答案。或者，您可以提供并接受自己的答案。

— 罗恩·莫平

我们有一个类似的设置，但是有两组8.2（5），我们使用了一个内部脚本来检测对主对的配置更改，更改必要的详细信息以使其可在第二个DC中连接，并将配置推送到第二对防火墙，最后重新启动。

这仅对我们有效，因为第二个FW对完全是被动的，而故障转移不处于活动状态。

该脚本基本上所做的就是拉动活动配置，运行正则表达式将管理详细信息替换为第二对，而正则表达式替换SNMP，主机名等。完成后，将TFTP的配置复制到第二对并启动重新启动。

— 大卫·罗瑟拉（David Rothera）
source

如果您愿意，我可以将其上传到github或其他参考。

— David Rothera 2013年

脚本解决方案可能是您最好的选择，它可以使四个防火墙处于配置同步的某个粗糙阶段……尽管这在结构上仅限于活动/备用DC方案

— Mike Pennington 2013年

那很好啊！或发送电子邮件至dannyvanzee@gmail.com

— 2013年

我可以问一下为什么配置更改后重新启动固件吗？为什么不将其移至运行配置工作？

— bigmstone 2013年

我们一直这样做，因为仅覆盖running-config时不容易进行某些更改。

— David Rothera 2013年