Segurança : Dispositivos de segurança adaptáveis Cisco ASA 5500 Series

Processo de eleição do mestre do Balanceamento de carga ASA VPN

14 Outubro 2016 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Inglês (22 Agosto 2015) | Feedback

Introdução

Este documento descreve o processo de eleição mestre em uma encenação da função de balanceamento de carga VPN com a ferramenta de segurança adaptável do Cisco 5500-X Series (ASA).

Contribuído por Gustavo Medina, engenheiro de TAC da Cisco.

Pré-requisitos

Requisitos

Não existem requisitos específicos para este documento.

Componentes Utilizados

A informação neste documento é baseada em Cisco ASA 5500-X que executa a versão de software 9.2.

Nota: Este documento igualmente aplica-se a todas as versões de software, desde que a característica foi introduzida primeiramente na versão 7.0(1).

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

Informações de Apoio 

O Balanceamento de carga VPN é um mecanismo que seja usado a fim distribuir equitativamente o tráfego de rede entre os dispositivos em um cluster virtual. O Balanceamento de carga é baseado na distribuição simples; não recolhe para explicar utilização da taxa de transferência ou outros fatores. Um conjunto da função de balanceamento de carga consiste em dois ou mais dispositivos, um mestre e uns ou vários dispositivos secundários, e estes dispositivos não têm que ser configurados identicamente.

Algoritmo da função de balanceamento de carga

Está aqui uma vista geral do algoritmo da função de balanceamento de carga:

  • O dispositivo mestre mantém uma lista aleatória de membros de grânulos secundários no ordem crescente de endereços IP de Um ou Mais Servidores Cisco ICM NT internos.

  • A carga é computada como uma porcentagem do inteiro (número de active/sessões máxima) que seja fornecida por cada membro de grânulos secundário.

  • O dispositivo mestre reorienta o túnel do IPsec/secure sockets layer (SSL) VPN a um dispositivo com a mais baixa carga primeiramente, até que esteja um por cento mais alto do que os outros dispositivos.

  • O dispositivo mestre sereorienta- somente quando todos os membros de grânulos secundários são um por cento mais altos do que o dispositivo mestre.

Está aqui um exemplo com um mestre e os dois membros de grânulos secundários:

  • Todos os Nós começam com um zero-por cento carregam, e todas as porcentagens são arredondadas aos metade-por cento os mais próximos.

  • O dispositivo mestre toma a conexão se todos os membros têm uma carga que seja um por cento mais alta do que o dispositivo mestre.

  • Se o dispositivo mestre não toma a conexão, a sessão está tomada pelo dispositivo de backup que tem atualmente a porcentagem a menor da carga.

  • Se todos os membros têm a mesma porcentagem da carga, a seguir o dispositivo de backup com menos quantidade de sessões toma a sessão.

  • Se todos os membros têm a mesma porcentagem da carga e o mesmo número de sessões, a seguir o dispositivo de backup com menos quantidade de endereços IP de Um ou Mais Servidores Cisco ICM NT toma a sessão.

Processo de eleição mestre

O processo de eleição do mestre do Balanceamento de carga VPN é executado na rede externa do conjunto. Há dois tipos de dados trocados na rede externa:

  • Os pacotes do Address Resolution Protocol (ARP) para o endereço IP de Um ou Mais Servidores Cisco ICM NT do conjunto que são usados para a descoberta mestra são trocados. O número máximo de pacotes ARP que são enviados para o endereço IP de Um ou Mais Servidores Cisco ICM NT do conjunto a fim descobrir o mestre é:

    (10 - prioridade) + 1

    Aqui, a prioridade é configurada como no subcommand da prioridade do comando CLI da função de balanceamento de carga do vpn.

  • Os pacotes de UDP na parte externa para olá! o pedido/mensagens de resposta são trocados. O número de porta é especificado no subcommand da função de balanceamento de carga da porta do conjunto e é padrão a 9023.

Como um exemplo, se a prioridade é cinco para um dispositivo da função de balanceamento de carga, tenta enviar até seis pacotes ARP a fim ver se qualquer dispositivo mestre possui o endereço IP de Um ou Mais Servidores Cisco ICM NT do conjunto. Se um dispositivo mestre é detectado, o ASA não envia any more mensagens ARP e esperas 15 segundos antes que envie o pedido UDP olá!. O dispositivo mestre responde então com uma resposta UDP olá!.

Advertência para encenações da repartição

Em uma situação da repartição com dois ASA em um conjunto da função de balanceamento de carga:

  • ASA-1 ou ASA-2 eram o mestre antes da repartição.

  • ASA-1 é recarregado.

  • ASA-2 transforma-se o mestre se não era o mestre previamente.

  • ASA-1 junta-se simplesmente ao conjunto como um escravo após a repartição.

O algoritmo da função de balanceamento de carga pôde ser afetado por uma configuração do interruptor onde a interface externa dos dispositivos do conjunto é conectada igualmente. Por exemplo, um algoritmo de Spanning Tree pôde causar o retardo de conectividade quando o dispositivo que está conectado ao interruptor é recarregado.

Dica: O comando rápido da porta de Spanning Tree ajuda a acelerar o processo.

Em alguns casos, um ASA recentemente recarregado que tivesse o Balanceamento de carga permitido pôde tentar transformar-se o dispositivo mestre (mesmo se um dispositivo mestre já existe) porque não pode alcançar o dispositivo mestre atual devido a um retardo de conectividade no interruptor. Quando há um conflito do mastership detectado em consequência da colisão ARP, o ASA com um baixo endereço de controle de acesso de mídia (MAC) ganha, quando o ASA com um MAC address mais alto der acima o papel mestre do dispositivo.

Processo mestre da reeleição

Há duas situações que causam uma reeleição do dispositivo mestre.

Dispositivo mestre removido do conjunto

Quando você desabilita a característica no ASA, um mensagem de transmissão está enviado a todos os membros de grânulos a fim informar da mudança, e o processo de eleição previamente descrito é executado.

O dispositivo mestre não responde aos mensagens Hello Messages do membro de grânulos

Se o dispositivo mestre não responde a um mensagem Hello Messages do membro de grânulos, toma a um membro de grânulos ASA aproximadamente 20 segundos para detectar que o mestre está já não atual. Os mensagens Hello Messages são enviados cada cinco segundos (não configuráveis). Se os membros de grânulos não recebem uma resposta do dispositivo mestre após quatro mensagens Hello Messages, a seguir o processo de eleição está provocado.

Troubleshooting

Nota: Refira a informação importante no artigo de Cisco dos comandos Debug antes que você use comandos debug.

Estes comandos debug podem ser úteis com tentativas de pesquisar defeitos edições com seu sistema:

  • debugar fsm 255 - Use este comando a fim ativar a máquina de estado finito geral debugam. Inscreva o comando no debug all a fim desativar.

  • debugar o vpnlb 3 do menu - Use este comando a fim ativar o Balanceamento de carga VPN debugam o traço. Inscreva o comando 3 do vpnlb do menu debugar a fim desativar mais uma vez.

  • debugar o vpnlb 4 do menu - Use este comando a fim ativar o traço da função do Balanceamento de carga VPN. Incorpore o comando do vpnlb 4 do menu debugar a fim desativar mais uma vez.

Informações Relacionadas



Document ID: 118078