Sécurité : Dispositifs de sécurité adaptatifs dédiés de la gamme Cisco ASA 5500

Processus d'élection de maître d'Équilibrage de charge ASA VPN

18 octobre 2016 - Traduction automatique
Autres versions: PDFpdf | Anglais (22 août 2015) | Commentaires

Introduction

Ce document décrit le processus d'élection principal dans un scénario d'Équilibrage de charge VPN avec l'appliance de sécurité adaptable de gamme Cisco 5500-X (ASA).

Contribué par Gustavo la Médina, ingénieur TAC Cisco.

Conditions préalables

Conditions requises

Aucune spécification déterminée n'est requise pour ce document.

Composants utilisés

Les informations dans ce document sont basées sur Cisco ASA 5500-X qui exécute la version de logiciel 9.2.

Remarque: Ce document s'applique également à toutes les versions de logiciel, puisque la caractéristique a été introduite la première fois dans la version 7.0(1).

Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est opérationnel, assurez-vous que vous comprenez l'effet potentiel de toute commande.

Informations générales 

L'Équilibrage de charge VPN est un mécanisme qui est utilisé afin de distribuer équitablement le trafic réseau parmi les périphériques dans une batterie virtuelle. L'Équilibrage de charge est basé sur la distribution simple ; il ne rentre pas pour rendre compte utilisation de débit ou d'autres facteurs. Une batterie d'Équilibrage de charge se compose de deux périphériques ou plus, un maître et un ou plusieurs périphériques secondaires, et ces périphériques ne doivent pas être configurés identiquement.

Algorithme d'équilibrage de charge

Voici un aperçu de l'algorithme d'équilibrage de charge :

  • Le périphérique principal met à jour une liste triée de clusters members secondaires dans la commande croissante des adresses IP intérieures.

  • Le chargement est calculé comme pourcentage d'entier (nombre de sessions actives/maximum) qui est fourni par chaque cluster member secondaire.

  • Le périphérique principal réoriente le tunnel VPN d'IPSec/Secure Sockets Layer (SSL) à un périphérique avec le plus bas chargement d'abord, jusqu'à ce que ce soit un supérieur à de pour cent les autres périphériques.

  • Les redirect to principaux de périphérique lui-même seulement quand tous les clusters members secondaires sont un supérieur à de pour cent le périphérique principal.

Voici un exemple avec un maître et deux clusters members secondaires :

  • Tous les Noeuds commencent par un zéro-pour cent chargent, et tous les pourcentages sont arrondis aux moitié-pour cent les plus proches.

  • Le périphérique principal prend la connexion si tous les membres ont un chargement qui est un supérieur à de pour cent le périphérique principal.

  • Si le périphérique principal ne prend pas la connexion, la session est prise par le périphérique de sauvegarde qui a actuellement le plus petit pourcentage de chargement.

  • Si tous les membres ont le même pourcentage de chargement, alors le périphérique de sauvegarde avec la moins quantité de sessions prend la session.

  • Si tous les membres ont le même pourcentage de chargement et le même nombre de sessions, alors le périphérique de sauvegarde avec la moins quantité d'adresses IP prend la session.

Processus d'élection principal

Le processus d'élection de maître d'Équilibrage de charge VPN est exécuté sur la batterie en dehors du réseau. Il y a deux types de données permutés sur le réseau extérieur :

  • Des paquets de Protocole ARP (Address Resolution Protocol) pour l'adresse IP de batterie qui sont utilisés pour la détection principale sont permutés. Le nombre maximal de paquets d'ARP qui sont envoyés pour l'adresse IP de batterie afin de découvrir le maître est :

    (10 - priorité) + 1

    Ici, la priorité est configurée comme dans la commande secondaire prioritaire de la commande CLI d'Équilibrage de charge de vpn.

  • Des paquets UDP sur l'extérieur pour bonjour les messages de demande/réponse sont permutés. Le numéro de port est spécifié dans la commande secondaire d'Équilibrage de charge de port de batterie et est par défaut à 9023.

Comme exemple, si la priorité est cinq pour un périphérique d'Équilibrage de charge, il tente d'envoyer jusqu'à six paquets d'ARP afin de voir si n'importe quel périphérique principal possède l'adresse IP de batterie. Si un périphérique principal est détecté, l'ASA n'envoie plus de messages et d'attentes d'ARP 15 secondes avant qu'elle envoie la demande d'UDP bonjour. Le périphérique principal répond alors avec une réponse d'UDP bonjour.

Mise en garde pour des scénarios de réinitialisation

Dans une situation de réinitialisation avec deux ASA dans une batterie d'Équilibrage de charge :

  • ASA-1 ou ASA-2 était le maître avant la réinitialisation.

  • ASA-1 est redémarré.

  • ASA-2 devient le maître si ce n'était pas le maître précédemment.

  • ASA-1 joint simplement la batterie comme esclave après réinitialisation.

L'algorithme d'équilibrage de charge pourrait être affecté par une configuration du commutateur où l'interface extérieure des périphériques de batterie sont connectées également. Par exemple, un algorithme de spanning-tree pourrait entraîner le retard de Connectivité quand le périphérique qui est connecté au commutateur est redémarré.

Conseil : La commande rapide de port de spanning tree aide à accélérer le processus.

Dans certains cas, une ASA nouvellement redémarrée qui a l'Équilibrage de charge activé pourrait tenter de devenir le périphérique principal (même si un périphérique principal existe déjà) parce qu'il ne peut pas atteindre le périphérique principal en cours dû à un retard de Connectivité dans le commutateur. Quand il y a un conflit d'autorité détecté en raison de la collision d'ARP, l'ASA avec de bas wins d'une adresse de Contrôle d'accès au support (MAC), alors que l'ASA avec une adresse MAC plus élevée abandonne le rôle principal de périphérique.

Procédé principal de réélection

Il y a deux situations qui entraînent une réélection du périphérique principal.

Périphérique principal retiré de la batterie

Quand vous désactivez la configuration sur l'ASA, un message de diffusion est envoyé à tous les clusters members afin d'informer de la modification, et le processus d'élection précédemment décrit est exécuté.

Le périphérique principal ne répond pas aux messages Hello de cluster member

Si le périphérique principal ne répond pas à un message Hello de cluster member, cela prend à un cluster member ASA approximativement 20 secondes pour le détecter que le maître n'est plus présent. Les messages Hello sont envoyés toutes les cinq secondes (non configurables). Si les clusters members ne reçoivent pas une réponse du périphérique principal après quatre messages Hello, alors le processus d'élection est déclenché.

Dépannez

Remarque: Référez-vous aux informations importantes sur l'article de Cisco de commandes de debug avant que vous utilisiez des commandes de débogage.

Ces commandes de débogage peuvent être utiles avec des tentatives de dépanner des questions avec votre système :

  • mettez au point le FSM 255 - Employez cette commande afin de lancer la machine à état défini générale mettent au point. Entrez dans l'aucun mettent au point toute la commande afin de désactiver.

  • mettez au point le vpnlb 3 de menu - Employez cette commande afin de lancer l'Équilibrage de charge VPN mettent au point le suivi. Sélectionnez la commande du vpnlb 3 de menu de débogage afin de désactiver de nouveau.

  • mettez au point le vpnlb 4 de menu - Employez cette commande afin de lancer le suivi de fonction d'Équilibrage de charge VPN. Sélectionnez la commande du vpnlb 4 de menu de débogage afin de désactiver de nouveau.

Informations connexes



Document ID: 118078