Verständnis der Synchronisierung der ASA-MAC-Tabelle mit hoher Verfügbarkeit im transparenten Modus mit HSRP-Routern

Download-Optionen

  • PDF     (289.5 KB)
    Mit Adobe Reader auf verschiedenen Geräten anzeigen
  • ePub     (108.2 KB)
    In verschiedenen Apps auf iPhone, iPad, Android, Sony Reader oder Windows Phone anzeigen
  • Mobi (Kindle)     (94.5 KB)
    Auf einem Kindle-Gerät oder einer Kindle-App auf mehreren Geräten anzeigen
Aktualisiert:18. August 2022
Dokument-ID:218057

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

    Einleitung

    In diesem Dokument wird das Verhalten eines ASA-Paars beschrieben, das mit einem Cluster von Routern verbunden ist, die HSRP verwenden.

    Voraussetzungen

    • Adaptive Security Appliance (ASA)
    • ASA High Availability (HA)
    • Hot Standby Router Protocol (HSRP)
    • Firewall im transparenten Modus 

    Verwendete Komponenten

    • 2 CSR-Router mit HSRP
    • 2 ASA in HA konfiguriert, die auf das HSRP-Paar verweist.

    Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle verstehen.

    Hintergrundinformationen

    Wenn bei einem Paar ASA, das im transparenten Modus für hohe Verfügbarkeit konfiguriert ist, das Paar von Firewalls mit einem Cluster von Routern verbunden ist und diese benachbarten Router HSRP verwenden, wird der Datenverkehr von den Firewalls an die Router-IP-Adresse weitergeleitet, die ebenfalls auf die MAC-Adresse eines bestimmten Routers verweist. Wenn der zurückkehrende Datenverkehr jedoch von der MAC-Adresse einer anderen Router-Schnittstelle im HSRP-Paar stammt, kann dies zu einem Netzwerkausfall führen. 

    Das Problem besteht darin, dass die Zeitüberschreitung für die MAC-Adresstabelle 5 Minuten (300 Sekunden) und die ARP-Zeitüberschreitung 14400 Sekunden beträgt. Da der Next-Hop-Router HSRP verwendet, wird niemals Datenverkehr von der HSRP-MAC-Adresse generiert. In diesem Fall läuft der Eintrag in der MAC-Adresstabelle auf der ASA ab, und der Datenverkehr fällt aus.

    Netzwerkdiagramm

    topology_asaha_hsrp

    Fehlerbehebung

    Verständnis der Synchronisierung der MAC-Tabelle für ASA HA im transparenten Modus mit HSRP


    Diese Ausgaben zeigen, wie ASA-Geräte ihre MAC-Tabelle synchronisieren, wenn das aktive Gerät neue Einträge erkennt und alte Einträge löscht. 

    Bei der aktiven Einheit asav-1 geht die 5254.0017.8a8c-MAC-Adresse von einem der HSRP-Router verloren, in diesem Fall csr1000v-0

    ASAv-primary# show mac-address-table
    interface mac address type Age(min) bridge-group
    ----------------------------------------------------------------------------------------------------
    outside 5254.0017.8a8c dynamic 1 1
    inside 5254.001f.dfa8 dynamic 1 1
    outside 5254.0008.7242 dynamic 5 1
    outside 0000.0c07.ac01 dynamic 5 1


    Sie können sehen, wie 5254.0017.8a8c nach 5 Minuten verschwindet.

    ASAv-primary# show mac-address-table
    interface mac address type Age(min) bridge-group
    ----------------------------------------------------------------------------------------------------
    outside 5254.0008.7242 dynamic 5 1
    outside 0000.0c07.ac01 dynamic 5 1

    Der MAC-Eintrag 5254.0017.8a8c geht beim Standby-Gerät nicht verloren. Dieses Verhalten kann Verwirrung verursachen, ist jedoch völlig zu erwarten.

    Das Standby-Gerät aktualisiert die MAC-Adresstabelle nur, wenn es zum neuen aktiven Gerät wird.


    Die Standby-Einheit hält 5254.0017.8a8c nach mehreren Stunden und bleibt die ganze Zeit bei einer (1) Minute der Alterzeit.

    ASAv-secondary(config)# show mac-address-table
    interface mac address type Age(min) bridge-group
    ----------------------------------------------------------------------------------------------------
    outside 5254.0017.8a8c dynamic 1 1
    outside 5254.0008.7242 dynamic 5 1
    outside 0000.0c07.ac01 dynamic 5 1

    Sie können Stunden/Tage warten und denselben Befehl ausführen, um dasselbe Ergebnis zu sehen.

    ASAv-secondary(config)# show mac-address-table
    interface mac address type Age(min) bridge-group
    ----------------------------------------------------------------------------------------------------
    outside 5254.0017.8a8c dynamic 1 1
    outside 5254.0008.7242 dynamic 5 1
    outside 0000.0c07.ac01 dynamic 5 1


    Wenn Sie außerdem die show failover ändern, wird der Zähler L2BRIDGE Tbl nicht geändert, wenn die aktive Einheit den HSRP-Eintrag verliert.

    Stateful Failover Logical Update Statistics
    Link : failoverlink GigabitEthernet0/3 (up)
    Stateful Obj xmit xerr rcv rerr
    General 86751 0 77968 8
    sys cmd 77854 0 77853 0
    up time 0 0 0 0
    RPC services 0 0 0 0
    <--- More --->

    TCP conn 0 0 0 0
    UDP conn 8882 0 90 0
    ARP tbl 4 0 1 0
    L2BRIDGE Tbl 3 0 22 0
    Xlate_Timeout 0 0 0 0
    IPv6 ND tbl 0 0 0 0
    SIP Session 0 0 0 0
    SIP Tx 0 0 0 0
    SIP Pinhole 0 0 0 0
    Route Session 8 0 0 8

    Der Eintrag in der MAC-Adresstabelle wird aufgrund von asymmetrischem Routing veraltet

    Wenn der Datenverkehr direkt zwischen zwei MAC-Adressen durch die transparente Firewall fließt, werden diese Adressen nicht veraltet, da die ASA Frames von den beiden MAC-Adressen empfängt, die den Datenverkehr senden.

    Bei asymmetrischem Datenfluss erfolgt die Eingabe zu einem Timeout, wenn die ASA keine Antwort von dieser spezifischen MAC-Adresse erhält.

    Anmerkung: Asymmetrisches Routing bedeutet, dass die ASA den an eine bestimmte MAC-Adresse gerichteten Datenverkehr erkennt, jedoch keinen Datenverkehr, der von derselben MAC-Adresse stammt

    Symptome dieses Problems sind, dass Datenverkehr, der für diese MAC-Adresse bestimmt ist, nach Ablauf der Zeitspanne, in der die ASA den MAC-Adresseintrag veraltet (nach 5 Minuten ohne Datenverkehr von dieser MAC-Adresse) verworfen wird, bis der MAC-Eintrag wieder aufgefüllt wird.

    In der Regel tritt das Problem auf, wenn es zeigt, dass die Verbindung zu einem Server nach ein oder zwei Versuchen wiederhergestellt wird. Der Grund hierfür ist, dass das erste Paket verworfen wird, sodass die ASA die Schritte durchlaufen kann, um den Standort einer MAC-Adresse zu ermitteln.

    Empfohlene Lösung

    Um dieses Problem zu beheben, fügen Sie eine statische MAC-Adresseingabetabelle für die HSRP-IP-Adresse der Firewall hinzu, oder erhöhen Sie die Alterungszeit auf einen Wert, der besagt, dass eine ARP-Antwort vom entsprechenden HSRP-Router kommt, bevor die Zeitüberschreitung für den Eintrag eintritt.

    Die bessere Lösung besteht darin, einen statischen MAC-Eintrag hinzuzufügen, da nicht sicher ist, ob die ASA eine ARP-Antwort vom aktiven HSRP-Router erhält.

    Zugehörige Informationen

    Revisionsverlauf

    Überarbeitung Veröffentlichungsdatum Kommentare
    1.0
    19-Aug-2022
    Erstveröffentlichung
    TAC Authored

    Beiträge von Cisco Ingenieuren

    • Leonel Matus
      Cisco TAC

    War dieses Dokument hilfreich?

    FeedbackFeedback

    Cisco kontaktieren

    Dieses Dokument gilt für folgende Produkte.