7/29/2015 Cisco 

ASA 5500 Series Configuration Guide using the CLI, 8.2 ­ Configuring Active/Standby Failover [Cisco ASA 5500­X Series Next­Generation Firewa…
Cisco ASA 5500 Series Configuration Guide using the CLI, 8.2

Configuring Active/Standby Failover

Cisco ASA 5500 Series Downloads: This chapter  (PDF ­ 178.0 KB) The complete book  (PDF ­ 14.43 MB) |   Feedback

Configuration Guide using the CLI,
8.2
About This Guide Table Of Contents
Glossary
Getting Started and General
Configuring Active/Standby Failover
Information Information About Active/Standby Failover
Configuring Access Lists
Active/Standby Failover Overview
Primary/Secondary Status and Active/Standby Status
Configuring IP Routing
Device Initialization and Configuration Synchronization
Configuring NAT
Command Replication
Configuring High Availability Failover Triggers
Information About High Failover Actions
Availability Optional Active/Standby Failover Settings
Configuring Licensing Requirements for Active/Standby Failover
Active/Standby Failover Prerequisites for Active/Standby Failover
Configuring Active/Active Guidelines and Limitations
Failover Configuring Active/Standby Failover
Configuring Access Control Task Flow for Configuring Active/Standby Failover
Configuring Application Layer Configuring the Primary Unit
Procotol Inspection Configuring the Secondary Unit
Configuring Unified Configuring Optional Active/Standby Failover Settings
Communications Enabling HTTP Replication with Stateful Failover
Configuring Advanced Disabling and Enabling Interface Monitoring
Connection Settings Configuring the Interface Health Poll Time
Configuring Applications on Configuring Failover Criteria
SSMs and SSCs Configuring Virtual MAC Addresses
Configuring VPN Controlling Failover
Monitoring Forcing Failover
System Administration Disabling Failover
Reference Restoring a Failed Unit
Testing the Failover Functionality
Monitoring Active/Standby Failover
Feature History for Active/Standby Failover

Configuring Active/Standby Failover
This chapter describes how to configure active/standby failover, and it includes the following sections:
• Information About Active/Standby Failover
• Licensing Requirements for Active/Standby Failover
• Prerequisites for Active/Standby Failover
• Guidelines and Limitations
• Configuring Active/Standby Failover
• Controlling Failover
• Monitoring Active/Standby Failover

Information About Active/Standby Failover
This section describes Active/Standby failover, and it includes the following topics:
• Active/Standby Failover Overview
• Primary/Secondary Status and Active/Standby Status
• Device Initialization and Configuration Synchronization
• Command Replication
• Failover Triggers
• Failover Actions

Active/Standby Failover Overview
Active/Standby failover enables you to use a standby ASA to take over the functionality of a failed unit. When the active unit fails, it changes to the standby
state while the standby unit changes to the active state. The unit that becomes active assumes the IP addresses (or, for transparent firewall, the
management IP address) and MAC addresses of the failed unit and begins passing traffic. The unit that is now in standby state takes over the standby
IP addresses and MAC addresses. Because network devices see no change in the MAC to IP address pairing, no ARP entries change or time out
anywhere on the network.

Note For multiple context mode, the ASA can fail over the entire unit (including all contexts) but cannot fail over individual contexts separately.

Primary/Secondary Status and Active/Standby Status
The main differences between the two units in a failover pair are related to which unit is active and which unit is standby, namely which IP addresses to
use and which unit actively passes traffic.
However, a few differences exist between the units based on which unit is primary (as specified in the configuration) and which unit is secondary:
• The primary unit always becomes the active unit if both units start up at the same time (and are of equal operational health).
• The primary unit MAC addresses are always coupled with the active IP addresses. The exception to this rule occurs when the secondary unit is active
and cannot obtain the primary unit MAC addresses over the failover link. In this case, the secondary unit MAC addresses are used.

Device Initialization and Configuration Synchronization
Configuration synchronization occurs when one or both devices in the failover pair boot. Configurations are always synchronized from the active unit to the
standby unit. When the standby unit completes its initial startup, it clears its running configuration (except for the failover commands needed to
communicate with the active unit), and the active unit sends its entire configuration to the standby unit.
The active unit is determined by the following:
• If a unit boots and detects a peer already running as active, it becomes the standby unit.
• If a unit boots and does not detect a peer, it becomes the active unit.
• If both units boot simultaneously, then the primary unit becomes the active unit, and the secondary unit becomes the standby unit.

http://www.cisco.com/c/en/us/td/docs/security/asa/asa82/configuration/guide/config/ha_active_standby.html 1/8
7/29/2015 Cisco ASA 5500 Series Configuration Guide using the CLI, 8.2 ­ Configuring Active/Standby Failover [Cisco ASA 5500­X Series Next­Generation Firewa…

Note If the secondary unit boots without detecting the primary unit, the secondary unit becomes the active unit and uses its own MAC addresses, because it
does not know the primary unit MAC addresses. However, when the primary unit becomes available, the secondary (active) unit changes the MAC
addresses to those of the primary unit, which can cause an interruption in your network traffic. Similarly, if you swap out the primary unit with new
hardware, a new MAC address is used.

Virtual MAC addresses guard against this disruption because the active MAC addresses are known to the secondary unit at startup, and remain the same
in the case of new primary unit hardware. In multiple context mode, the ASA generates virtual active and standby MAC addresses by default. See the
"Information About MAC Addresses" section for more information. In single context mode, you can manually configure virtual MAC addresses; see the
"Configuring Virtual MAC Addresses" section for more information.

If you do not configure virtual MAC addresses, you might need to clear the ARP tables on connected routers to restore traffic flow. The ASA does not send
gratuitous ARPs for static NAT addresses when the MAC address changes, so connected routers do not learn of the MAC address change for these
addresses.

When the replication starts, the ASA console on the active unit displays the message "Beginning configuration replication: Sending to mate," and when it is
complete, the ASA displays the message "End Configuration Replication to mate." During replication, commands entered on the active unit may not
replicate properly to the standby unit, and commands entered on the standby unit may be overwritten by the configuration being replicated from the active
unit. Avoid entering commands on either unit in the failover pair during the configuration replication process. Depending upon the size of the configuration,
replication can take from a few seconds to several minutes.

Note The crypto ca server command and related sub­commands are not synchronized to the failover peer.

On the standby unit, the configuration exists only in running memory. To save the configuration to Flash memory after synchronization, do the following:
• For single context mode, enter the write memory command on the active unit. The command is replicated to the standby unit, which proceeds to write
its configuration to Flash memory.
• For multiple context mode, enter the write memory all command on the active unit from the system execution space. The command is replicated to the
standby unit, which proceeds to write its configuration to Flash memory. Using the all keyword with this command causes the system and all context
configurations to be saved.

Note Startup configurations saved on external servers are accessible from either unit over the network and do not need to be saved separately for each unit.
Alternatively, you can copy the contexts on disk from the active unit to an external server, and then copy them to disk on the standby unit, where they
become available when the unit reloads.

Command Replication
Command replication always flows from the active unit to the standby unit. As commands are entered on the active unit, they are sent across the failover
link to the standby unit. You do not have to save the active configuration to Flash memory to replicate the commands.
Table 33­1 lists the commands that are and are not replicated to the standby unit:

Table 33­1 Command Replication

Commands Not Replicated to the Standby
Command Replicated to the Standby Unit Unit
all configuration commands except for the mode, firewall, and all forms of the copy command except for copy
failover lan unit commands running­config startup­config

copy running­config startup­config all forms of the write command except for write
memory

delete crypto ca server and associated sub­commands

mkdir debug

rename failover lan unit

rmdir firewall

write memory mode

— show

— terminal pager and pager

Note Changes made on the standby unit are not replicated to the active unit. If you enter a command on the standby unit, the ASA displays the message ****
WARNING **** Configuration Replication is NOT performed from Standby unit to Active unit. Configurations are no longer
synchronized. This message displays even when you enter many commands that do not affect the configuration.

If you enter the write standby command on the active unit, the standby unit clears its running configuration (except for the failover commands used to
communicate with the active unit), and the active unit sends its entire configuration to the standby unit.
For multiple context mode, when you enter the write standby command in the system execution space, all contexts are replicated. If you enter the write
standby command within a context, the command replicates only the context configuration.
Replicated commands are stored in the running configuration. To save the replicated commands to the Flash memory on the standby unit, do the following:
• For single context mode, enter the copy running­config startup­config command on the active unit. The command is replicated to the standby unit,
which proceeds to write its configuration to Flash memory.
• For multiple context mode, enter the copy running­config startup­config command on the active unit from the system execution space and within
each context on disk. The command is replicated to the standby unit, which proceeds to write its configuration to Flash memory. Contexts with startup
configurations on external servers are accessible from either unit over the network and do not need to be saved separately for each unit. Alternatively,
you can copy the contexts on disk from the active unit to an external server, and then copy them to disk on the standby unit.

Failover Triggers
The unit can fail if one of the following events occurs:
• The unit has a hardware failure or a power failure.
• The unit has a software failure.
• Too many monitored interfaces fail.
• The no failover active command is entered on the active unit or the failover active command is entered on the standby unit.

Failover Actions

http://www.cisco.com/c/en/us/td/docs/security/asa/asa82/configuration/guide/config/ha_active_standby.html 2/8
7/29/2015 Cisco ASA 5500 Series Configuration Guide using the CLI, 8.2 ­ Configuring Active/Standby Failover [Cisco ASA 5500­X Series Next­Generation Firewa…
In Active/Standby failover, failover occurs on a unit basis. Even on systems running in multiple context mode, you cannot fail over individual or groups of
contexts.
Table 33­2 shows the failover action for each failure event. For each failure event, the table shows the failover policy (failover or no failover), the action
taken by the active unit, the action taken by the standby unit, and any special notes about the failover condition and actions.

Table 33­2 Failover Behavior 

Active Standby
Failure Event Policy Action Action Notes
Active unit failed Failover n/a Become No hello messages are received on any monitored interface
(power or hardware) active or the failover link.
Mark active
as failed

Formerly active unit No Become No action None.

recovers failover standby

Standby unit failed No Mark n/a When the standby unit is marked as failed, then the active

(power or hardware) failover standby as unit does not attempt to fail over, even if the interface failure
failed threshold is surpassed.

Failover link failed No Mark Mark You should restore the failover link as soon as possible

during operation failover failover failover because the unit cannot fail over to the standby unit while the
interface as interface as failover link is down.
failed failed

Failover link failed at No Mark Become If the failover link is down at startup, both units become

startup failover failover active active.
interface as
failed

Stateful Failover link No No action No action State information becomes out of date, and sessions are

failed failover terminated if a failover occurs.

Interface failure on Failover Mark active Become None.

active unit above as failed active
threshold

Interface failure on No No action Mark When the standby unit is marked as failed, then the active

standby unit above failover standby as unit does not attempt to fail over even if the interface failure
threshold failed threshold is surpassed.

Optional Active/Standby Failover Settings
You can configure the following Active/Standby failover options when you initially configuring failover or after failover has been configured:
• HTTP replication with Stateful Failover—Allows connections to be included in the state information replication.
• Interface monitoring—Allows you to monitor up to 250 interfaces on a unit and control which interfaces affect your failover.
• Interface health monitoring—Enables the security appliance to detect and respond to interface failures more quickly.
• Failover criteria setup—Allows you to specify a specific number of interfaces or a percentage of monitored interfaces that must fail before failover
occurs.
• Virtual MAC address configuration—Ensures that the secondary unit uses the correct MAC addresses when it is the active unit, even if it comes online
before the primary unit.

Licensing Requirements for Active/Standby Failover
The following table shows the licensing requirements for this feature:

Model License Requirement
ASA 5505 Security Plus License. (Stateful failover is not supported).

ASA 5510 Security Plus License.

All other models Base License.

Prerequisites for Active/Standby Failover
Active/Standby failover has the following prerequisites:
• Both units must be identical security appliances that are connected to each other through a dedicated failover link and, optionally, a Stateful Failover
link.
• Both units must have the same software configuration and the proper license.
• Both units must be in the same mode (single or multiple, transparent or routed).

Guidelines and Limitations
This section includes the guidelines and limitations for this feature.
Context Mode Guidelines
• Supported in single and multiple context mode.
• For multiple context mode, perform all steps in the system execution space unless otherwise noted.
Firewall Mode Guidelines
• Supported in transparent and routed firewall mode.
IPv6 Guidelines
• IPv6 failover is supported.
Model Guidelines
• Stateful failover is not supported on the Cisco ASA 5505 adaptive security appliance.
Additional Guidelines and Limitations
Configuring port security on the switch(es) connected to an ASA failover pair can cause communication problems when a failover event occurs. This is
because if a secure MAC address configured or learned on one secure port moves to another secure port, a violation is flagged by the switch port security
feature.

http://www.cisco.com/c/en/us/td/docs/security/asa/asa82/configuration/guide/config/ha_active_standby.html 3/8
7/29/2015 Cisco ASA 5500 Series Configuration Guide using the CLI, 8.2 ­ Configuring Active/Standby Failover [Cisco ASA 5500­X Series Next­Generation Firewa…
ASA failover replication fails if you try to make a configuration change on two or more contexts at the same time. The workaround is to make configuration
changes on each unit sequentially.
The following guidelines and limitations apply for Active/Standby failover:
• To receive packets from both units in a failover pair, standby IP addresses need to be configured on all interfaces.
• The standby IP addresses are used on the security appliance that is currently the standby unit, and they must be in the same subnet as the active IP
address on the corresponding interface on the active unit.
• If you enter the terminal pager or pager commands on the active unit in a failover pair, the active console terminal pager settings change, but the
standby unit settings do not. A default configuration issued on the active unit does affect behavior on the standby unit.
• When you enable interface monitoring, you can monitor up to 250 interfaces on a unit.
• By default, the ASA does not replicate HTTP session information when Stateful Failover is enabled. Because HTTP sessions are typically short­lived,
and because HTTP clients typically retry failed connection attempts, not replicating HTTP sessions increases system performance without causing
serious data or connection loss. The failover replication http command enables the stateful replication of HTTP sessions in a Stateful Failover
environment, but it could have a negative impact upon system performance.

Configuring Active/Standby Failover
This section describes how to configure Active/Standby failover and includes the following topics:
• Task Flow for Configuring Active/Standby Failover
• Configuring the Primary Unit
• Configuring the Secondary Unit
• Configuring Optional Active/Standby Failover Settings

Task Flow for Configuring Active/Standby Failover
Follow these steps to configure Active/Standby Failover:

Step 1  Configure the primary unit, as shown in the "Configuring the Primary Unit" section.

Step 2  Configure the secondary unit, as shown in the "Configuring the Secondary Unit" section.

Step 3  (Optional) Configure optional Active/Standby failover settings, as shown in the "Configuring Optional Active/Standby Failover Settings" section.

Configuring the Primary Unit
Follow the steps in this section to configure the primary unit in a LAN­based, Active/Standby failover configuration. These steps provide the minimum
configuration needed to enable failover on the primary unit.

Restrictions
Do not configure an IP address in interface configuration mode for the Stateful Failover link if you are going to use a dedicated Stateful Failover interface.
You use the failover interface ip command to configure a dedicated Stateful Failover interface in a later step.

Detailed Steps

  Command Purpose
Step 1  ip address active_addr Configures the active and standby IP addresses for each data
netmask standby interface (routed mode), for the management IP address (transparent
standby_addr mode), or for the management­only interface.
ipv6 address {autoconfig
| ipv6­prefix/prefix­ In routed firewall mode and for the management­only interface, enter
length [eui­64] [standby this command in interface configuration mode for each interface.
ipv6­prefix] | ipv6­ In transparent firewall mode, enter the command in global
address link­local configuration mode.
[standby ipv6­address]}
In multiple context mode, configure the interface addresses from
Example: within each context. Use the change to context command to switch
hostname(config­if)# ip between contexts. The command prompt changes to
address 10.1.1.1 hostname/context(config­if)#, where context is the name of the
255.255.255.0 standby current context. You must enter a management IP address for each
10.1.1.2 context in transparent firewall multiple context mode.
hostname(config­if)#
Each data interface can have an IPv4 address and one or more IPv6
ipv6 address
addresses. For IPv6 addresses that use the eui­64 option, you do not
3ffe:c00:0:1::576/64
need to specify a standby address—one will be created
standby
automatically.
3ffe:c00:0:1::575

Step 2  failover lan unit Designates the unit as the primary unit.

primary

Step 3  failover lan interface Specifies the interface to be used as the failover interface.

if_name phy_if
The if_name argument assigns a name to the interface specified by
Example: the phy_if argument.
hostname(config)#
The phy_if argument can be the physical port name, such as
failover lan interface
Ethernet1, or a previously created subinterface, such as
folink
Ethernet0/2.3. On the ASA 5505 adaptive ASA, the phy_if specifies a
GigabitEthernet0/3
VLAN. This interface should not be used for any other purpose
(except, optionally, the Stateful Failover link).

Step 4  failover interface ip Assigns the active and standby IP addresses to the failover link. You

if_name [ip_address mask can assign either an IPv4 or an IPv6 address to the interface. You
standby ip_address | cannot assign both types of addresses to the failover link.
ipv6_address/prefix
standbyipv6_address] The standby IP address must be in the same subnet as the active
IP address. You do not need to identify the standby address
Example: subnet mask.
hostname(config)#
failover interface ip The failover link IP address and MAC address do not change at
folink 172.27.48.1 failover. The active IP address for the failover link always stays with
255.255.255.0 standby the primary unit, while the standby IP address stays with the
172.27.48.2 secondary unit.
hostname(config)#
failover interface ip
folink
2001:a0a:b00::a0a:b70/64
standby
2001:a0a:b00::a0a:b71

Step 5  interface phy_if Enables the interface.

Example:
hostname(config)#

http://www.cisco.com/c/en/us/td/docs/security/asa/asa82/configuration/guide/config/ha_active_standby.html 4/8
7/29/2015 Cisco ASA 5500 Series Configuration Guide using the CLI, 8.2 ­ Configuring Active/Standby Failover [Cisco ASA 5500­X Series Next­Generation Firewa…
interface vlan100
hostname(config­if)# no
shutdown

Step 6  failover link if_name (Optional) Specifies the interface to be used as the Stateful Failover

phy_if link.
Example:
hostname(config)# Note  If the Stateful Failover link uses the failover link or a
failover link statelink data interface, then you only need to supply the
GigabitEthernet0/2 if_name argument.
The if_name argument assigns a logical name to the interface
specified by the phy_if argument. The phy_if argument can be the
physical port name, such as Ethernet1, or a previously created
subinterface, such as Ethernet0/2.3. This interface should not be used
for any other purpose (except, optionally, the failover link).

Step 7  failover interface ip (Optional) Assigns an active and standby IP address to the Stateful

if_name [ip_address mask Failover link. You can assign either an IPv4 or an IPv6 address to the
standby ip_address | interface. You cannot assign both types of addresses to the Stateful
ipv6_address/prefix Failover link.
standbyipv6_address]

Example:
Note  If the stateful Failover link uses the failover link or data
hostname(config)#
interface, skip this step. You have already defined the
failover interface ip
active and standby IP addresses for the interface.
folink 172.27.48.1
255.255.255.0 standby The standby IP address must be in the same subnet as the active
172.27.48.2 IP address. You do not need to identify the standby address
hostname(config)# subnet mask.
failover interface ip
statelink
The Stateful Failover link IP address and MAC address do not change
2001:a1a:b00::a0a:a70/64
at failover unless it uses a data interface. The active IP address
standby
always stays with the primary unit, while the standby IP address stays
2001:a1a:b00::a0a:a71
with the secondary unit.

Step 8  interface phy_if (Optional) Enables the interface.

no shutdown If the Stateful Failover link uses the failover link or a data interface,
Example: skip this step. You have already enabled the interface.
hostname(config)#
interface vlan100
hostname(config­if)# no
shutdown

Step 9  failover Enables failover.

Example:
hostname(config)#
failover

Step 10  copy running­config Saves the system configuration to Flash memory.

startup­config

Example:
hostname(config)# copy
running­config startup­
config

Configuring the Secondary Unit
The only configuration required on the secondary unit is for the failover interface. The secondary unit requires these commands to communicate initially
with the primary unit. After the primary unit sends its configuration to the secondary unit, the only permanent difference between the two configurations is
the failover lan unit command, which identifies each unit as primary or secondary.

Prerequisites
When configuring LAN­based failover, you must bootstrap the secondary device to recognize the failover link before the secondary device can obtain the
running configuration from the primary device

Detailed Steps

  Command Purpose
Step 1  failover lan interface Specifies the interface to be used as the failover interface. (Use the
if_name phy_if same settings that you used for the primary unit.)
Example: The if_name argument assigns a name to the interface specified by
hostname(config)# the phy_if argument.
failover lan interface
folink vlan100

Step 2  failover interface ip Assigns the active and standby IP addresses to the failover link. You

if_name [ip_address mask can assign either an IPv4 or an IPv6 address to the interface. You
standby ip_address | cannot assign both types of addresses to the failover link.
ipv6_address/prefix
standbyipv6_address] To receive packets from both units in a failover pair, standby IP
addresses need to be configured on all interfaces.
Example:
hostname(config)#
failover interface ip Note  Enter this command exactly as you entered it on the
folink 172.27.48.1 primary unit when you configured the failover
255.255.255.0 standby interface on the primary unit (including the same IP
172.27.48.2 address).
hostname(config)#
failover interface ip
folink
2001:a0a:b00::a0a:b70/64
standby
2001:a0a:b00::a0a:b71

Step 3  interface phy_if Enables the interface.

no shutdown

Example:
hostname(config)#
interface vlan100
hostname(config­if)# no
shutdown

Step 4  failover lan unit (Optional) Designates this unit as the secondary unit:

http://www.cisco.com/c/en/us/td/docs/security/asa/asa82/configuration/guide/config/ha_active_standby.html 5/8
7/29/2015 Cisco ASA 5500 Series Configuration Guide using the CLI, 8.2 ­ Configuring Active/Standby Failover [Cisco ASA 5500­X Series Next­Generation Firewa…
secondary

Example: Note  This step is optional because, by default, units are

hostname(config)# designated as secondary unless previously
failover lan unit configured.
secondary

Step 5  failover Enables failover.

Example: After you enable failover, the active unit sends the configuration in
hostname(config)# running memory to the standby unit. As the configuration
failover synchronizes, the messages "Beginning configuration replication:
Sending to mate" and "End Configuration Replication to mate"
appear on the active unit console.

Step 6  copy running­config Saves the configuration to Flash memory.

startup­config
Enter the command after the running configuration has completed
Example: replication.
hostname(config)# copy
running­config startup­
config

Configuring Optional Active/Standby Failover Settings
This section includes the following topics:
• Enabling HTTP Replication with Stateful Failover
• Disabling and Enabling Interface Monitoring
• Configuring the Interface Health Poll Time
• Configuring Failover Criteria
• Configuring Virtual MAC Addresses
You can configure the optional Active/Standby failover settings when initially configuring the primary unit in a failover pair (see Configuring the Primary
Unit) or on the active unit in the failover pair after the initial configuration.

Enabling HTTP Replication with Stateful Failover
To allow HTTP connections to be included in the state information replication, you need to enable HTTP replication. Because HTTP connections are
typically short­lived, and because THTTP clients typically retry failed connection attempts, HTTP connections are not automatically included in the
replicated state information.
Enter the following command in global configuration mode to enable HTTP state replication when Stateful Failover is enabled.

Command Purpose
failover replication http Enables HTTP state replication.
Example:
hostname (config)# failover replication http

Disabling and Enabling Interface Monitoring
You can control which interfaces affect your failover policy by disabling the monitoring of specific interfaces and enabling the monitoring of others. This
feature enables you to exclude interfaces attached to less critical networks from affecting your failover policy.
You can monitor up to 250 interfaces on a unit. By default, monitoring physical interfaces is enabled and monitoring subinterfaces is disabled.
Hello messages are exchanged during every interface poll frequency time period between the security appliance failover pair. The failover interface poll
time is 3 to 15 seconds. For example, if the poll time is set to 5 seconds, testing begins on an interface if 5 consecutive hellos are not heard on that
interface (25 seconds).
Monitored failover interfaces can have the following status:
• Unknown—Initial status. This status can also mean the status cannot be determined.
• Normal—The interface is receiving traffic.
• Testing—Hello messages are not heard on the interface for five poll times.
• Link Down—The interface or VLAN is administratively down.
• No Link—The physical link for the interface is down.
• Failed—No traffic is received on the interface, yet traffic is heard on the peer interface.
For units in single configuration mode, enter the following commands to enable or disable health monitoring for specific interfaces. For units in multiple
configuration mode, you must enter the commands within each security context.

  Do one of the following:

  no monitor­interface if_name Disables health monitoring for an interface.
Example:
hostname(config)# no monitor­interface lanlink

  monitor­interface if_name Enables health monitoring for an interface.
Example:
hostname(config)# monitor­interface lanlink

Configuring the Interface Health Poll Time
The ASA sends hello packets out of each data interface to monitor interface health. If the ASA does not receive a hello packet from the corresponding
interface on the peer unit for over half of the hold time, then the additional interface testing begins. If a hello packet or a successful test result is not
received within the specified hold time, the interface is marked as failed. Failover occurs if the number of failed interfaces meets the failover criteria.
Decreasing the poll and hold times enables the ASA to detect and respond to interface failures more quickly, but may consume more system resources.

Command Purpose
failover polltime Changes the interface poll time.
interface [msec]
time [holdtime Valid values for poll time are from 1 to 15 seconds or, if the optional msec keyword is used, from
time] 500 to 999 milliseconds. The hold time determines how long it takes from the time a hello packet is
missed to when the interface is marked as failed. Valid values for the hold time are from 5 to 75
Example: seconds. You cannot enter a hold time that is less than 5 times the poll time.
hostname
If the interface link is down, interface testing is not conducted and the standby unit could become
(config):
active in just one interface polling period if the number of failed interfaces meets or exceeds the
failover polltime
configured failover criteria.
interface msec
500 holdtime 5

http://www.cisco.com/c/en/us/td/docs/security/asa/asa82/configuration/guide/config/ha_active_standby.html 6/8
7/29/2015 Cisco ASA 5500 Series Configuration Guide using the CLI, 8.2 ­ Configuring Active/Standby Failover [Cisco ASA 5500­X Series Next­Generation Firewa…
Configuring Failover Criteria
You can specify a specific number of interface or a percentage of monitored interfaces that must fail before failover occurs. By default, a single interface
failure causes failover.
To the change the default failover criteria, enter the following command in global configuration mode:

Command Purpose
failover interface­policy num[%] Changes the default failover criteria.
Example: When specifying a specific number of interfaces, the num argument
hostname (config)# failover interface­ can be from 1 to 250.
policy 20% When specifying a percentage of interfaces, the num argument can be
from 1 to 100.

Configuring Virtual MAC Addresses
In Active/Standby failover, the MAC addresses for the primary unit are always associated with the active IP addresses. If the secondary unit boots first and
becomes active, it uses the burned­in MAC address for its interfaces. When the primary unit comes online, the secondary unit obtains the MAC addresses
from the primary unit. The change can disrupt network traffic.
You can configure virtual MAC addresses for each interface to ensure that the secondary unit uses the correct MAC addresses when it is the active unit,
even if it comes online before the primary unit. If you do not specify virtual MAC addresses the failover pair uses the burned­in NIC addresses as the MAC
addresses.

Note You cannot configure a virtual MAC address for the failover or Stateful Failover links. The MAC and IP addresses for those links do not change during
failover.

Enter the following command on the active unit to configure the virtual MAC addresses for an interface:

Command Purpose
failover mac address Configures the virtual MAC address for an interface.
phy_if active_mac
standby_mac The phy_if argument is the physical name of the interface, such as Ethernet1. The
active_mac and standby_mac arguments are MAC addresses in H.H.H format, where H
Example: is a 16­bit hexadecimal digit. For example, the MAC address 00­0C­F1­42­4C­DE would
hostname (config): be entered as 000C.F142.4CDE.
failover mac address
Ethernet0/2 The active_mac address is associated with the active IP address for the interface, and the
00a0.c969.87c8 standby_mac is associated with the standby IP address for the interface.
00a0.c918.95d8 There are multiple ways to configure virtual MAC addresses on the ASA. When more
than one method has been used to configure virtual MAC addresses, the ASA uses the
following order of preference to determine which virtual MAC address is assigned to an
interface:
1.  The mac­address command (in interface configuration mode) address.
2.  The mac­address auto command generated address.
3.  The failover mac address command address.
4.  The burned­in MAC address.
Use the show interface command to display the MAC address used by an interface.

Controlling Failover
This sections describes how to control and monitor failover. This section includes the following topics:
• Forcing Failover
• Disabling Failover
• Restoring a Failed Unit

Forcing Failover
To force the standby unit to become active, enter one of the following commands:

Command Purpose
failover active Forces a failover when entered on the standby unit in a failover pair. The standby unit
Example:
becomes the active unit.
hostname# failover
active
no failover active Forces a failover when entered on the active unit in a failover pair. The active unit becomes
Example:
the standby unit.
hostname# no failover
active

Disabling Failover
To disable failover, enter the following command:

Command Purpose
no failover Disables failover. Disabling failover on an Active/Standby pair causes the active and standby state
Example:
of each unit to be maintained until you restart. For example, the standby unit remains in standby
hostname(config)# mode so that both units do not start passing traffic. To make the standby unit active (even with
no failover failover disabled), see the "Forcing Failover" section.

Restoring a Failed Unit
To restore a failed unit to an unfailed state, enter the following command:

Command Purpose
failover reset Restored a failed unit to an unfailed state. Restoring a failed unit to an unfailed state does not
Example:
automatically make it active; restored units remain in the standby state until made active by failover
hostname(config)# (forced or natural).

http://www.cisco.com/c/en/us/td/docs/security/asa/asa82/configuration/guide/config/ha_active_standby.html 7/8
7/29/2015 Cisco ASA 5500 Series Configuration Guide using the CLI, 8.2 ­ Configuring Active/Standby Failover [Cisco ASA 5500­X Series Next­Generation Firewa…
failover reset

Testing the Failover Functionality
To test failover functionality, perform the following steps:

Step 1  Test that your active unit is passing traffic as expected by using FTP (for example) to send a file between hosts on different interfaces.

Step 2  Force a failover by entering the following command on the active unit:
hostname(config)# no failover active
Step 3  Use FTP to send another file between the same two hosts.

Step 4  If the test was not successful, enter the show failover command to check the failover status.

Step 5  When you are finished, you can restore the unit to active status by enter the following command on the newly active unit:
hostname(config)# no failover active

Monitoring Active/Standby Failover
To monitor Active/Standby failover, enter one of the following commands:

Command Purpose
show failover Displays information about the failover state of the unit.

show monitor‐interface Displays information about the monitored interface.

show running‐config failover Displays the failover commands in the running configuration.

For more information about the output of the monitoring commands, refer to the Cisco ASA 5500 Series Command Reference.

Feature History for Active/Standby Failover
Table 33­3 lists the release history for this feature.

Table 33­3 Feature History for Optional Active/Standby Failover Settings

Feature Name Releases Feature Information

This feature was 7.0 This feature was introduced.
introduced.

IPv6 support for 8.2(2) The following commands were modified: failover interface ip, show failover, ipv6

failover added. address, show monitor­interface.

Terms & Conditions | Privacy Statement | Cookie Policy | Trademarks

http://www.cisco.com/c/en/us/td/docs/security/asa/asa82/configuration/guide/config/ha_active_standby.html 8/8