セキュリティ : Cisco ASA 5500-X シリーズ次世代型ファイアウォール

ASA VPN ロード バランシング マスタ 選択 プロセス

2015 年 11 月 25 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 8 月 22 日) | フィードバック

概要

この資料は Cisco 5500-X シリーズ適応性があるセキュリティ アプライアンス モデル(ASA)との VPN ロードバランシング シナリオでマスタ 選択 プロセスを説明したものです。

グスタボ マディーナによって貢献される、Cisco TAC エンジニア。

前提条件

要件

このドキュメントに関する特別な要件はありません。

使用するコンポーネント

ソフトウェア バージョン 9.2 を実行するこの文書に記載されている情報は Cisco ASA 5500-X に基づいています。

: この資料はまたすべてのソフトウェア バージョンに機能がバージョン 7.0(1)で最初に導入されたので、適用します。

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

背景説明 

VPN ロード バランシングは公正にバーチャル クラスタのデバイス間のネットワークトラフィックを分散するのに使用するメカニズムです。 ロード バランシングは簡単なディストリビューションに基づいています; それはスループット説明するために利用か他のファクタ奪取 しません。 ロードバランシング クラスタは 2つ以上のデバイス、マスターおよび 1つ以上のセカンダリデバイスで構成され、これらのデバイスは全く同じに設定される必要がありません。

ロードバランシングアルゴリズム

ロードバランシングアルゴリズムの外観はここにあります:

  • マスター デバイスは内部 IP アドレスの昇順のセカンダリ クラスタ メンバーのソートされた リストを保持します。

  • ロードは各々のセカンダリ クラスタ メンバーによって供給される整数パーセント(アクティブな/最大セッションの数)として計算されます。

  • マスター デバイスは最も低いロードのデバイスにその他のデバイスより高く 1%なるまで、IPSec/Secure Sockets Layer (SSL) VPN トンネルを最初にリダイレクトします。

  • セカンダリ クラスタ メンバー全員がマスター デバイスより高い 1%時だけそれ自身へのマスター デバイス リダイレクト。

1 マスターおよび 2 人のセカンダリ クラスタ メンバーとの例はここにあります:

  • All ノードはゼロ パーセントからロードします始まり、すべてのパーセントは最も近い半パーセントに四捨五入されます。

  • マスター デバイスは 1%メンバー全員はマスター デバイスより高いロードがある場合接続を奪取 します。

  • マスター デバイスが接続を奪取 しない場合、セッションは現在最も小さいロード パーセントがあるバックアップ デバイスによって奪取 されます。

  • メンバー全員に同じロード パーセントがある場合、最小限のセッションのバックアップ デバイスはセッションを奪取 します。

  • メンバー全員にセッションの同じロード パーセントおよび同じ数がある場合、最小限の IP アドレスのバックアップ デバイスはセッションを奪取 します。

マスタ 選択 プロセス

VPN ロード バランシング マスタ 選択 プロセスはクラスタ 外部ネットワークで実行された。 外部ネットワークで交換されるデータには 2 つの型があります:

  • マスター ディスカバリのために使用するクラスタ IP アドレスのためのアドレス解決プロトコル (ARP)パケットは交換されます。 マスターを検出するためにクラスタ IP アドレスのために送信される ARPパケットの最大数は次のとおりです:

    (10 -優先順位) + 1

    ここでは、優先順位は設定された次 VPN ロードバランシング CLI コマンドの優先順位 サブコマンドです。

  • HELLO 要求および応答 メッセージのための外部の UDP パケットは交換されます。 ポート番号はクラスタ ポート ロードバランシング サブコマンドで規定 され、9023 へデフォルトです。

一例として優先順位が負荷バランシング デバイスのための 5 なら、どのマスター デバイスでもクラスタ IP アドレスを所有するかどうか見るために 6 つまでの ARPパケットを送信するように試みます。 マスター デバイスが検出する場合、ASA は UDP HELLO 要求を送信 する 15 秒前にもう ARP メッセージおよび待機を送信 しません。 マスター デバイスは UDP HELLO 応答とそれから応答します。

再度ブートするシナリオのための警告

ロードバランシング クラスタの 2 ASA との再度ブートする 状況:

  • ASA-1 か ASA-2 は再度ブートするの前にマスターでした。

  • ASA-1 はリブートされます。

  • ASA-2 はそれが以前に マスターではなかった場合マスターになります。

  • ASA-1 は再度ブートするの後でスレーブとしてクラスタに単に加入します。

ロードバランシングアルゴリズムはクラスタ デバイスの outside インターフェイスがまた接続されるスイッチの設定から影響を受けるかもしれません。 たとえばスイッチに接続されるデバイスがリブートされるとき、スパニング ツリー アルゴリズムにより接続 遅延を引き起こすかもしれません。

ヒントスパニングツリーポート ファースト コマンドはプロセスの高速化を助けます。

場合によっては、有効に なる ロード バランシングがある最近リブートされた ASA はスイッチの接続 遅延による現在のマスター デバイスに到達できないのでマスター デバイスになるように試みるかもしれません(既に存在 するマスター デバイス)。 ARP 衝突の結果として検出するマスターシップ競合がある時より高い MAC アドレスの ASA はマスター デバイス ロールをあきらめるが、下位メディア アクセス制御(MAC) アドレス優先の ASA。

マスター再選プロセス

マスター デバイスの再選を引き起こす 2 つの状況があります。

クラスタから削除されるマスター デバイス

ASA の機能をディセーブルにするとき、ブロードキャストメッセージはクラスタ メンバー全員に変更の知らせるために送られ以前に説明された選択プロセスは実行された。

マスター デバイスはクラスタ メンバー HELLO メッセージに応答しません

マスター デバイスがクラスタ メンバー HELLO メッセージに応答しない場合、およそ 20 秒マスターがもはやないこと検出するために ASA クラスタ メンバーを奪取 します。 HELLO メッセージは 5 秒毎に送信 されます(設定可能ではない)。 クラスタ メンバーが 4 つの HELLO メッセージの後でマスター デバイスから応答を受け取らない場合、選択プロセスは引き起こされます。

トラブルシューティング

debug コマンドを使用する前に Debug コマンド Cisco の 記事の重要な情報を参照して下さい。

これらの debug コマンドはシステムで問題を解決する試みと役立ちます:

  • デバッグ fsm 255 -汎用有限状態マシン デバッグをアクティブにするためにこのコマンドを使用して下さい。 無効になるために no debug all コマンドを入力して下さい。

  • デバッグして下さいメニュー vpnlb 3 を- VPN ロード バランシング debug trace をアクティブにするためにこのコマンドを使用して下さい。 無効になるためにデバッグ メニュー vpnlb 3 コマンドをもう一度入力して下さい。

  • デバッグして下さいメニュー vpnlb 4 を- VPN ロード バランシング 機能 トレースをアクティブにするためにこのコマンドを使用して下さい。 無効になるためにデバッグ メニュー vpnlb 4 コマンドをもう一度入力して下さい。

関連情報


関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


Document ID: 118078