简介
本文档介绍跨网络EtherChannel透明模式站点间集群的一些常见问题。
先决条件
要求
Cisco 建议您了解以下主题:
使用的组件
本文档不限于特定的软件和硬件版本。
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您的网络处于活动状态,请确保您了解所有命令的潜在影响。
背景信息
从ASA 9.2版开始,支持站点间集群,其中ASA单元可以位于不同的数据中心,集群控制链路(CCL)通过数据中心互联(DCI)连接。 可能的部署方案包括:
- 单个接口站点间集群
- 跨网络EtherChannel透明模式站点间集群
- 跨网络EtherChannel路由模式站点间集群(从9.5开始支持)
MAC移动通知
当内容可寻址存储器(CAM)表中的MAC地址更改端口时,会生成MAC MOVE通知。但是,在CAM表中添加或删除MAC地址时,不会生成MAC MOVE通知。假设通过VLAN10中的接口GigabitEthernet0/1获知MAC地址X,一段时间后,通过VLAN 10中的GigabitEthernet0/2看到相同的MAC,则生成MAC MOVE通知。
来自交换机的系统日志:
NEXUS7K %L2FM-4-L2FM_MAC_MOVE: Mac 000c.8142.2600 in vlan 10 has moved from GigabitEthernet0/1 to GigabitEthernet0/2
来自ASA的系统日志:
ASA-4-412001: MAC 003a.7b58.24c5 moved from DMZ to INSIDE
网络图
站点间集群部署,其中ASA配置为透明模式桥接VLAN 1535和VLAN 35。内部VLAN 35在重叠传输虚拟化(OTV)上扩展,而外部VLAN 1535未在OTV上扩展,如图所示

交换机上的MAC移动通知
场景 1
流向其MAC地址条目在ASA的MAC表中不存在的MAC地址的流量,如图所示:

在透明ASA中,如果到达ASA的数据包的目标MAC地址不在MAC地址表中,它会发出该目标的地址解析协议(ARP)请求(如果与BVI位于同一子网)或互联网控制消息协议(ICMP)请求,生存时间1(TTL 1)将源MAC作为网桥虚拟接口(BVI)MAC地址,将目标MAC地址作为目标媒体访问控制器(DMAC)丢失。
在前面的案例中,您有以下流量:
- 数据中心1上的ISP路由器将流量转发到ASA后的特定目标。
- 两台ASA都可以接收流量,在这种情况下,ASA不知道流量的目标MAC地址。
- 现在,流量的目标IP与BVI位于同一子网中,如前所述,ASA现在会为目标IP生成ARP请求。
- 交换机1接收流量,由于请求是广播,因此它会将流量转发到数据中心2以及通过OTV链路。
- 当交换机2在OTV链路上看到来自ASA的ARP请求时,它将记录MAC MOVE通知,因为以前的ASA的MAC地址是通过直连接口获知的,现在它是通过OTV链路获知的。
建议
这是一个角落方案。MAC表在集群中同步,因此成员没有特定主机的条目的可能性较低。对于集群拥有的BVI MAC,偶尔MAC移动是可以接受的。
场景 2
ASA的集中式流处理,如图所示:

ASA集群中基于检测的流量分为三种类型:
对于集中式检查,需要检查的任何流量都会重定向到ASA集群的主设备。如果ASA集群的辅助设备收到流量,则会通过CCL将其转发到主设备。
在早期的映像中,您使用的是集中检测协议(CIP)的SQL流量,此处描述的行为适用于任何CIP。
您接收数据中心2上的流量,其中只有ASA集群的辅助设备,主设备位于数据中心1,即ASA 1。
- 数据中心2上的ISP路由器2接收流量并将其向下转发到其站点的ASA。
- 任一ASA都可以接收此流量,一旦它确定需要检查此流量,当协议集中时,它会通过CCL将流量转发到主设备。
- ASA 1通过CCL接收流量,处理流量并将其下游发送到SQL Server。
- 现在,当ASA 1将流量转发到下游时,它将保留位于数据中心2的ISP路由器2的原始源MAC地址并将其发送到下游。
- 当交换机1收到此特定流量时,它会登录MAC MOVE通知,因为它最初通过连接到数据中心2的OTV链路看到ISP路由器2的MAC地址,现在它看到来自连接到ASA 1的接口的流量。
建议
建议根据优先级,将集中连接路由到托管主站点的任何站点,如图所示:
场景 3

对于透明模式下的域间控制器(DC)通信,不覆盖或记录此特定流量,但从ASA流量处理的角度来看,此特定流量确实有效。但是,它可能会在交换机上产生MAC移动通知。
- VLAN 35上的主机1尝试与另一个数据中心上的主机2通信。
- 主机1有一个默认网关,即路由器1,而路由器1具有到达主机2的路径,它可以通过备用链路直接与路由器2通信,在这种情况下,我们假设使用多协议标签交换(MPLS),而不是通过ASA集群。
- 路由器2接收传入流量并将其路由到主机2。
- 现在,当主机2作出响应时,路由器2收到返回流量,它通过ASA找到直接连接的路由,而不是通过MPLS发送的流量。
- 在此阶段,离开路由器2的流量具有路由器2送出接口的源MAC。
- 数据中心2的ASA接收返回流量并查找存在且由数据中心1的ASA建立的连接。
- 数据中心2的ASA通过CCL将返回流量发送回数据中心1的ASA。
- 在此阶段,数据中心1的ASA处理返回流量并将其向下发送到交换机1。数据包仍然具有与路由器2送出接口的源MAC相同的源MAC。
- 现在,当交换机1收到数据包时,它会记录MAC移动通知,因为最初它通过连接到OTV链路的接口获取了路由器2的MAC地址,但在此阶段,它开始从连接到ASA的接口获取MAC地址。
场景 4
ASA生成的流量,如图所示:

对于ASA自身生成的任何流量,将观察此特定情况。这里考虑了两种可能的情况,其中ASA尝试访问与其BVI接口位于同一子网上的网络时间协议(NTP)或系统日志服务器。但是,不仅限于这两种情况,当ASA为直接连接到BVI IP地址的任何IP地址生成流量时,都会出现这种情况。
- 如果ASA没有NTP服务器/系统日志服务器的ARP信息,则ASA会为该服务器生成ARP请求。
- 由于ARP请求是一个广播数据包,因此交换机1将从其ASA的已连接接口接收此数据包,并通过OTV在特定VLAN中的所有接口(包括远程站点)将其泛洪出去。
- 远程站点交换机2将从OTV链路收到此ARP请求,并且由于ASA的源MAC,它会生成MAC抖动通知,因为同一MAC地址通过OTV的本地直连接口获知到ASA。
方案 5
从直连主机发往ASA的BVI IP地址的流量,如图所示:

在流量发往ASA的BVI IP地址时,也可以观察MAC MOVE。
在本场景中,ASA直连网络中有一台主机,并且正在尝试连接到ASA。
- 主机没有ASA的ARP并触发ARP请求。
- Nexus接收流量,由于它是广播流量,因此它也会通过OTV将流量发送到另一个站点。
- 远程数据中心2上的ASA可以响应ARP请求,并通过与远程端的交换机2、本地端的交换机1和终端主机相同的路径将流量发送回。
- 当在本地交换机1上看到ARP响应时,它看到来自OTV链路的ASA的MAC地址时会触发MAC移动通知。
方案 6
如图所示,ASA设置为拒绝与其一起向主机发送RST的流量:

在本例中,主机Host 1位于VLAN 35中,它尝试与同一第3层VLAN中的主机2通信,但是,主机2实际上位于数据中心2 VLAN 1535中。
- 交换机2上通过连接到ASA的接口可以看到主机2MAC地址。
- 交换机1将通过OTV链路看到主机2的MAC地址。
- 主机1将流量发送到主机2,该流量沿交换机1、OTV、交换机2、数据中心2上的ASA的路径传输。
- ASA拒绝此特定数据包,并且由于ASA配置为将RST发回主机1,因此RST数据包将返回ASA的源MAC地址。
- 当此数据包通过OTV返回到交换机1时,交换机1会记录ASA MAC地址的MAC MOVE通知,因为它现在在OTV上看到MAC地址,在此之前它会从其直接连接的接口看到该地址。
验证
当前没有可用于此配置的验证过程。
故障排除
目前没有针对此配置的故障排除信息。
相关信息