Seguridad : Dispositivos de seguridad adaptable Cisco ASA de la serie 5500

Proceso de elección del master del Equilibrio de carga ASA VPN

17 Octubre 2016 - Traducción Automática
Otras Versiones: PDFpdf | Inglés (22 Agosto 2015) | Comentarios

Introducción

Este documento describe el proceso de elección principal en un escenario del balanceo de carga VPN con el dispositivo de seguridad adaptante de las Cisco 5500-X Series (ASA).

Contribuido por el Medina de Gustavo, ingeniero de Cisco TAC.

Prerrequisitos

Requisitos

No hay requisitos específicos para este documento.

Componentes Utilizados

La información en este documento se basa en Cisco ASA 5500-X que funciona con la versión de software 9.2.

Nota: Este documento también se aplica a todas las versiones de software, puesto que la característica primero fue introducida en la versión 7.0(1).

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando.

Antecedentes 

El Equilibrio de carga VPN es un mecanismo que se utiliza para equitativo distribuir el tráfico de la red entre los dispositivos en un clúster virtual. El Equilibrio de carga se basa en la distribución simple; no admite para considerar utilización de la producción u otros factores. Un cluster del balanceo de carga consiste en dos o más dispositivos, un master y uno o más dispositivos secundarios, y estos dispositivos no tienen que ser configurados idénticamente.

Algoritmo del balanceo de carga

Aquí está una descripción del algoritmo del balanceo de carga:

  • El dispositivo principal mantiene una lista de clasificación de miembros de clúster secundarios en el orden ascendente de IP Addresses interiores.

  • La carga se computa como porcentaje del número entero (número de active/de sesiones máximas) que sea suministrado por cada miembro de clúster secundario.

  • El dispositivo principal reorienta el túnel del IPSec/de Secure Sockets Layer (SSL) VPN a un dispositivo con la carga más baja primero, hasta que sea el un por ciento más alto que los otros dispositivos.

  • El dispositivo principal reorienta a sí mismo solamente cuando todos los miembros de clúster secundarios son el un por ciento más altos que el dispositivo principal.

Aquí está un ejemplo con un master y dos miembros de clúster secundarios:

  • Todos los Nodos comienzan con un cero-por ciento cargan, y todos los porcentajes se redondean al mitad-por ciento más cercano.

  • El dispositivo principal toma la conexión si todos los miembros tienen una carga que sea el un por ciento más alta que el dispositivo principal.

  • Si el dispositivo principal no toma la conexión, la sesión es tomada por el dispositivo de backup que tiene actualmente el porcentaje más pequeño de la carga.

  • Si todos los miembros tienen el mismo porcentaje de la carga, después el dispositivo de backup con la menos cantidad de sesiones toma la sesión.

  • Si todos los miembros tienen el mismo porcentaje de la carga y el mismo número de sesiones, después el dispositivo de backup con la menos cantidad de IP Addresses toma la sesión.

Proceso de elección principal

El proceso de elección del master del Equilibrio de carga VPN se realiza en la red externa del cluster. Hay dos tipos de datos intercambiados en la red externa:

  • Los paquetes del Address Resolution Protocol (ARP) para la dirección IP del cluster que se utilizan para la detección principal se intercambian. El número máximo de paquetes ARP que se envíen para la dirección IP del cluster para descubrir al master es:

    (10 - prioridad) + 1

    Aquí, la prioridad se configura como en el submandato de la prioridad del comando CLI del balanceo de carga del vpn.

  • Los paquetes UDP en el exterior para hola la petición/los mensajes de respuesta se intercambian. El número del puerto se especifica en el submandato del balanceo de carga del puerto del cluster y es predeterminado a 9023.

Como un ejemplo, si la prioridad es cinco para un dispositivo del balanceo de carga, intenta enviar hasta seis paquetes ARP para ver si cualquier dispositivo principal posee la dirección IP del cluster. Si se detecta un dispositivo principal, el ASA no envía más mensajes ARP y esperas 15 segundos antes de que envía la petición UDP hola. El dispositivo principal entonces responde con una respuesta UDP hola.

Advertencia para los escenarios de la reinicialización

En una situación de la reinicialización con dos ASA en un cluster del balanceo de carga:

  • ASA-1 o ASA-2 era el master antes de la reinicialización.

  • Se reinicia ASA-1.

  • ASA-2 siente bien al master si no era el master previamente.

  • ASA-1 se une a simplemente el cluster como esclavo después de la reinicialización.

El algoritmo del balanceo de carga se pudo afectar por una configuración del Switch donde la interfaz exterior de los dispositivos del cluster está conectada también. Por ejemplo, un algoritmo del árbol de expansión pudo causar el retraso de conectividad cuando se reinicia el dispositivo que está conectado con el Switch.

Consejo: El comando rápido del puerto de árbol de expansión ayuda a acelerar el proceso.

En algunos casos, un ASA nuevamente reiniciado que tiene Equilibrio de carga habilitado pudo intentar convertirse en el dispositivo principal (incluso si existe un dispositivo principal ya) porque no puede alcanzar el dispositivo por principal actual a un retraso de conectividad en el Switch. Cuando hay un conflicto del dominio detectado como resultado de la colisión ARP, el ASA con un Media Access Control (MAC) Address bajo gana, mientras que el ASA con una dirección MAC más alta abandona el papel principal del dispositivo.

Proceso principal de la reelección

Hay dos situaciones que causan una reelección del dispositivo principal.

Dispositivo principal quitado del cluster

Cuando usted inhabilita la característica en el ASA, un mensaje de broadcast se envía a todos los miembros de clúster para informar el cambio, y se realiza el proceso de elección previamente descrito.

El dispositivo principal no responde a los mensajes Hello Messages del miembro de clúster

Si el dispositivo principal no responde a un mensaje Hello Messages del miembro de clúster, tarda a miembro de clúster ASA aproximadamente 20 segundos para detectar que el master está no más presente. Los mensajes Hello Messages se envían cada cinco segundos (no configurables). Si los miembros de clúster no reciben una respuesta del dispositivo principal después de cuatro mensajes Hello Messages, después se acciona el proceso de elección.

Troubleshooting

Nota: Refiera a la información importante en el artículo de Cisco de los comandos Debug antes de que usted utilice los comandos debug.

Estos comandos debug pueden ser útiles con las tentativas de resolver problemas los problemas con su sistema:

  • FSM 255 del debug - Utilice este comando para activar el debug general de la máquina de estados finitos. Ingrese el comando no debug all para desactivar.

  • haga el debug del vpnlb 3 del menú - Utilice este comando para activar la traza del debug del Equilibrio de carga VPN. Ingrese el comando 3 del vpnlb del menú del debug para desactivar de nuevo.

  • haga el debug del vpnlb 4 del menú - Utilice este comando para activar la traza de la función del Equilibrio de carga VPN. Ingrese el comando del vpnlb 4 del menú del debug para desactivar de nuevo.

Información Relacionada



Document ID: 118078