Este documento describe el proceso de elección de Director en un escenario de balanceo de carga VPN con Cisco 5500-X Series Adaptive Security Appliance (ASA).
No hay requisitos específicos para este documento.
La información de este documento se basa en el Cisco ASA 5500-X que ejecuta la versión de software 9.2.
Nota: Este documento también se aplica a todas las versiones de software, ya que la función se introdujo por primera vez en la versión 7.0(1).
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.
El balanceo de carga VPN es un mecanismo que se utiliza para distribuir el tráfico de red equitativamente entre los dispositivos en un agrupamiento virtual. El equilibrio de carga se basa en una distribución simple; no tiene en cuenta la utilización del rendimiento ni otros factores. Un clúster de equilibrio de carga consta de dos o más dispositivos, un director y uno o más dispositivos secundarios, y estos dispositivos no tienen que configurarse de forma idéntica.
A continuación se presenta una descripción general del algoritmo de balanceo de carga:
Este es un ejemplo con un director y dos miembros secundarios del clúster:
El proceso de balanceo de carga VPN Director Election se realiza en el clúster fuera de la red. Hay dos tipos de datos intercambiados en la red externa:
Por ejemplo, si la prioridad es cinco para un dispositivo de balanceo de carga, intenta enviar hasta seis paquetes ARP para ver si algún dispositivo director posee la dirección IP del clúster. Si se detecta un dispositivo director, el ASA no envía más mensajes ARP y espera 15 segundos antes de enviar la solicitud de saludo UDP. Luego, el dispositivo director responde con una respuesta UDP Hello.
En una situación de reinicio con dos ASA en un clúster de balanceo de carga:
El algoritmo de balanceo de carga podría verse afectado por una configuración del switch donde también se conecta la interfaz exterior de los dispositivos de clúster. Por ejemplo, un algoritmo de árbol de expansión podría causar un retraso en la conectividad cuando se reinicie el dispositivo que está conectado al switch.
Consejo: El comando spanning-tree port fast ayuda a acelerar el proceso.
En algunos casos, un ASA recién reiniciado que tiene el balanceo de carga habilitado podría intentar convertirse en el dispositivo director (incluso si ya existe un dispositivo director) porque no puede alcanzar el dispositivo director actual debido a un retraso en la conectividad en el switch. Cuando se detecta un conflicto de dirección como resultado de una colisión ARP, el ASA con una dirección de control de acceso a medios (MAC) baja gana, mientras que el ASA con una dirección MAC más alta renuncia a la función de dispositivo director.
Hay dos situaciones que provocan la reelección del dispositivo director.
Cuando inhabilita la función en el ASA, se envía un mensaje de difusión a todos los miembros del clúster para informar del cambio y se realiza el proceso electoral descrito anteriormente.
Si el dispositivo director no responde a un mensaje Hello del miembro del clúster, un miembro del clúster ASA tarda aproximadamente 20 segundos en detectar que el director ya no está presente. Los mensajes Hello se envían cada cinco segundos (no configurables). Si los miembros del clúster no reciben una respuesta del dispositivo director después de cuatro mensajes Hello, se activa el proceso electoral.
Nota: Consulte el artículo de Cisco Información Importante sobre Comandos Debug antes de utilizar los comandos debug.
Estos comandos de depuración pueden ser útiles en los intentos de resolver problemas con el sistema: