Firepower 4100/9300 上的 ASA 部署可扩展性和高可用性群集

群集允许您将多个 ASA 设备作为单一逻辑设备组合到一起。群集具有单个设备的全部便捷性(管理、集成到一个网络中),同时还能实现吞吐量增加和多个设备的冗余性。ASA 硬件模型也支持群集,但由于 Firepower 4100/9300 在 FXOS 中需要单独的配置,本文档侧重于跨 FXOS 和 ASA 的整体配置。



使用群集时,有些功能不受支持。请参阅群集不支持的功能




本文档涵盖 ASA 最新版本的功能。有关功能更改的详细信息,请参阅Firepower 4100/9300 机箱上 ASA 群集的历史。如果您使用的是旧版本的软件,请参考您版本的《FXOS 和 ASA 配置指南》中的步骤。


优势集成

FXOS 平台允许您运行多个逻辑设备,包括 ASA。部署独立和群集逻辑设备对于机箱内群集(适用于 Firepower 9300)和机箱间群集很容易。当您从 FXOS 部署群集时,可以预配置 ASA 引导程序配置,以便在 ASA 应用中需要非常简单的自定义。您还可以通过在 FXOS 中导出群集配置来添加其他群集成员。

集成式产品

下表列出了此集成所需的产品。

表 1. 用于群集的集成产品

产品

功能

最低版本

是否必需?

Firepower 4100 或 9300

运行 ASA 的硬件平台

FXOS 1.1.2

必要

Firepower 机箱管理器

FXOS GUI 设备管理器

Firepower 机箱管理器 1.1.2

可选;您也可以使用 CLI

ASA

防火墙应用

ASA 9.4(1.152)

必要

ASDM

ASA GUI 设备管理器

ASDM 7.4(3)

可选;您也可以使用 CLI

工作流程

此工作流程在 ASA 上使用 FXOS 和 ASDM 上的 Firepower 机箱管理器,以完成群集部署。

过程


步骤 1

FXOS 前提条件:

  • 配置智能许可。智能许可要求您配置 NTP 服务器(或至少准确的手动时间)和 DNS。

步骤 2

FXOS 任务:

  1. FXOS:配置接口。配置要分配到 ASA 的一个管理和所有数据接口。默认情况下,群集接口定义为端口通道 48,但对于机箱间群集,您需要添加成员接口。

  2. 创建 ASA 群集

  3. 添加更多群集成员

步骤 3

ASA 任务。在主设备上仅执行这些任务。

  1. (可选) 为运营商和情景功能配置许可证。请参阅 ASA 一般操作配置指南。

  2. (可选) ASA:配置防火墙模式和情景模式。默认情况下,FXOS 机箱在路由防火墙模式和单情景模式下部署群集。

  3. ASA:配置数据接口。管理接口在您部署群集时预先配置。

  4. (可选) ASA:自定义群集配置。自定义或启用多个群集功能,包括站点间功能和分布式站点到站点 VPN。


关于 Firepower 4100/9300 机箱上的群集

群集由充当单一逻辑单元的多个设备组成。在 Firepower 4100/9300 机箱 上部署群集时,它执行以下操作:

  • 为设备间通信创建群集控制链路(默认情况下,使用端口通道 48)。对于机箱内群集(仅限 Firepower 9300,此链路利用 Firepower 9300 背板进行群集通信。 对于机箱间群集,需要手动将物理接口分配到此 EtherChannel 以进行机箱间通信。

  • 在应用中创建群集引导程序配置。

    在部署群集时,Firepower 4100/9300 机箱管理引擎将最低引导程序配置推送到包含群集名称、群集控制链路接口及其他群集设置的每个设备。 如果您需要自定义群集环境,可以在应用内对引导程序配置的某些用户可配置部分进行配置。

  • 将数据接口作为跨网络接口分配给群集。

    对于机箱内群集,跨网络接口不仅限于 EtherChannel,与机箱间群集类似Firepower 9300 管理引擎在内部利用 EtherChannel 技术,将流量负载均衡到共享接口上的多个模块,使任何数据接口类型都可用于跨网络模式。 对于机箱间群集,必须对所有数据接口使用跨网络 EtherChannel。



    除管理接口以外,不支持单个接口。


  • 向群集中的所有设备分配管理接口。

以下部分提供有关群集概念和实施的更多详细信息。另请参阅群集参考

引导程序配置

在部署群集时,Firepower 4100/9300 机箱管理引擎将最低引导程序配置推送到包含群集名称、群集控制链路接口及其他群集设置的每个设备。 如果您需要自定义集群环境,则用户可以配置引导程序配置的某些部分。

群集成员

群集成员协调工作来实现安全策略和流量的共享。

群集的一个成员是设备。系统自动确定主设备。所有其他成员都是从属设备。

您必须仅在主设备上执行所有配置;然后,配置将复制到从属设备。

有些功能在群集中无法扩展,主设备将处理这些功能的所有流量。参阅群集集中化功能

主设备角色和从属设备角色

群集的一个成员是主设备。系统自动确定主设备。所有其他成员都是从属设备。

您必须仅在主设备上执行所有配置;然后,配置将复制到从属设备。

有些功能在群集中无法扩展,主设备将处理这些功能的所有流量。参阅群集集中化功能

群集控制链接

群集控制链路是用于设备到设备通信的 EtherChannel(端口通道 48)。对于机箱内群集,此链路利用 Firepower 9300 背板进行群集通信。对于机箱间群集,需要手动将物理接口分配到 Firepower 4100/9300 机箱 上的此 EtherChannel 以进行机箱间通信。

对于有 2 个机箱的机箱间群集,请勿将群集控制链路从一机箱直接连接至另一机箱。如果直接连接两个接口,则当一台设备发生故障时,群集控制链路失效,会导致剩下的那台正常设备也发生故障。而如果通过交换机连接群集控制链路,则群集控制链路仍会对正常设备打开。

群集控制链路流量包括控制流量和数据流量。

控制流量包括:

  • 主设备选举。

  • 配置复制。

  • 运行状况监控。

数据流量包括:

  • 状态复制。

  • 连接所有权查询和数据包转发。

设定的群集控制链路大小

如果可能,应将群集控制链路的大小设定为与每个机箱的预期吞吐量匹配,以使群集控制链路可以处理最坏情况。

群集控制链路流量主要由状态更新和转发的数据包组成。群集控制链路在任一给定时间的流量大小不尽相同。转发流量的大小取决于负载均衡的效率或是否存在大量用于集中功能的流量。例如:

  • NAT 会使连接的负载均衡不佳,需要对所有返回流量进行再均衡,将其转发到正确的设备。

  • 用于网络访问的 AAA 是集中功能,因此所有流量都会转发到主设备。

  • 当成员身份更改时,群集需要对大量连接进行再均衡,因此会暂时耗用大量群集控制链路带宽。

带宽较高的群集控制链路可以帮助群集在发生成员身份更改时更快地收敛,并防止出现吞吐量瓶颈。



如果群集中存在大量不对称(再均衡)流量,应增加群集控制链路的吞吐量大小。


机箱间群集的群集控制链路冗余

我们建议将 EtherChannel 用于群集控制链路,以便在 EtherChannel 中的多条链路上传输流量,同时又仍能实现冗余。

下图显示了如何在虚拟交换系统 (VSS) 或虚拟端口通道 (vPC) 环境中使用 EtherChannel 作为群集控制链路。EtherChannel 中的所有链路都是活动链路。当交换机是 VSS 或 vPC 的一部分时,可以将同一 EtherChannel 中的 ASA接口连接到 VSS 或 vPC 中的不同交换机。交换机接口是同一个 EtherChannel 端口通道接口的成员,因为两台不同的交换机的行为就像一台交换机一样。请注意,此 EtherChannel 是设备本地的,而非跨网络 EtherChannel。

机箱间群集的群集控制链路可靠性

为了确保群集控制链路的功能,设备之间的往返时间 (RTT) 务必要小于 20 毫秒。此最大延迟能够增强与不同地理位置安装的群集成员的兼容性。要检查延迟,请在设备之间的群集控制链路上执行 ping 操作。

群集控制链路必须可靠,没有数据包无序或丢弃数据包的情况;例如,站点间部署应使用专用链路。

群集控制链路网络

Firepower 4100/9300 机箱基于机箱 ID 和插槽 ID 自动为每个设备生成群集控制链路接口 IP 地址:127.2.chassis_id.slot_id当您部署群集时,您可以自定义此 IP 地址。群集控制链路网络不能包括设备之间的任何路由器;仅可执行第 2 层交换。 对于站点间流量,思科建议使用重叠传输虚拟化 (OTV)。

群集接口

对于机箱内群集,可以为群集分配物理接口或 EtherChannel 接口(也称为端口通道)。分配给群集的接口是对群集各个成员间的流量进行负载均衡的跨网络接口。

对于机箱间群集,只能为群集分配数据 EtherChannel 接口。这些跨网络 EtherChannel 在每个机箱上都包括相同的成员接口;在上游交换机上,所有这些接口都包括在一个 EtherChannel 内,因此交换机不知道它连接到多台设备。

除管理接口以外,不支持单个接口。

连接至 VSS 或 vPC

我们建议将 EtherChannel 连接到 VSS 或 vPC 以为您的接口提供冗余。

配置复制

群集中的所有设备共享一个配置。您只能在主设备上进行配置更改,这些更改将自动同步到群集中的所有其他设备。

ASA 群集管理

使用 ASA 群集的一个好处可以简化管理。本节介绍如何管理群集。

管理网络

我们建议将所有设备都连接到一个管理网络。此网络与群集控制链路分隔开来。

管理接口

必须为群集分配管理类型的接口。此接口是与跨网络接口相对立的一种特殊接口。通过管理接口,可以直接连接到每个设备。

群集的主群集 IP 地址是群集的固定地址,始终属于当前的主设备。还需要配置一个地址范围,以便包括当前主设备在内的每个设备都可以使用该范围内的本地地址。主群集 IP 地址提供对地址的统一管理访问;当主设备更改时,主群集 IP 地址将转移到新的主设备,使群集的管理得以无缝继续。

例如,您可以连接到主群集 IP 地址来管理群集,该地址始终属于当前的主设备。要管理单个成员,您可以连接到本地 IP 地址。

对于 TFTP 或系统日志等出站管理流量,包括主设备在内的每台设备都使用本地 IP 地址连接到服务器。

主设备管理与从属设备管理

所有管理和监控都可以在主设备上进行。您可以从主设备检查所有设备的运行时统计信息、资源使用率或其他监控信息。您也可以向群集中的所有设备发出命令,并将控制台消息从从属设备复制到主设备。

如果需要,您可以直接监控从属设备。虽然可以从主设备执行文件管理,但您也可以在从属设备上执行(包括备份配置和更新映像)。以下功能不可从主设备使用:

  • 监控每台设备的群集特定统计信息。

  • 监控每台设备的系统日志(控制台复制启用时发送至控制台的系统日志除外)。

  • SNMP

  • NetFlow

RSA 密钥复制

在主设备上创建 RSA 密钥时,该密钥将被复制到所有从属设备。如果您有连接到主群集 IP 地址的 SSH 会话,会在主设备发生故障时断开连接。新的主设备使用同一密钥进行 SSH 连接,因此在重新连接到新的主设备时,您无需更新缓存的 SSH 主机密钥。

ASDM 连接证书 IP 地址不匹配

默认情况下,ASDM 连接将根据本地 IP 地址使用自签名证书。如果使用 ASDM 连接到主群集 IP 地址,则会因证书使用本地 IP 地址而非主群集 IP 地址而显示一则警告消息,指出 IP 地址不匹配。您可以忽略该消息并建立 ASDM 连接。但是,为了避免此类警告,您也可以注册一个包含主群集 IP 地址和 IP 地址池中所有本地 IP 地址的证书。然后,您可将此证书用于每个群集成员。

跨网络 EtherChannel(推荐)

您可以将每个机箱的一个或多个接口组成跨群集中所有机箱的 EtherChannel。EtherChannel 汇聚通道中所有可用活动接口上的流量。在路由模式和透明防火墙模式下均可配置跨网络 EtherChannel。在路由模式下,EtherChannel 配置为具有单个 IP 地址的路由接口。在透明模式下,IP 地址分配到 BVI 而非网桥组成员接口。负载均衡属于 EtherChannel 固有的基本操作。

站点间群集

对于站点间安装,您只要遵循建议的准则即可充分发挥 ASA 群集的优势。

您可以将每个群集机箱配置为属于单独的站点 ID。

站点 ID 与站点特定的 MAC 地址和 IP 地址配合使用。群集发送的数据包使用站点特定的 MAC 地址和 IP 地址,而群集接收的数据包使用全局 MAC 地址和 IP 地址。此功能可防止交换机从两个不同端口上的两个站点获知相同全局 MAC 地址,导致 MAC 地址摆动;相反,它们仅获知站点 MAC 地址。只有使用跨网络 EtherChannel 的路由模式支持站点特定的 MAC 地址和 IP 地址

站点 ID 还用于使用 LISP 检查、导向器本地化来实现流量移动,以提高性能、减少数据中心的站点间集群的往返时间延迟以及连接的站点冗余,其中流量流的备用所有者始终位于与所有者不同的站点上。

有关站点间群集的详细信息,请参阅以下各节:

Firepower 4100/9300 机箱上的群集要求和必备条件

每个模型的最大群集单位

  • Firepower 4100 机箱 — 16 机箱

  • Firepower 9300 — 16 个模块。例如,您可以在 16 个机箱中使用 1 个模块,或者在 8 个机箱中使用 2 个模块,也可以使用最多提供 16 个模块的任意组合。

机箱间群集的硬件和软件要求

群集中的所有机箱:

  • 对于 Firepower 4100 系列:所有机箱必须为同一型号。对于 Firepower 9300:所有安全模块必须为同一类型。例如,如果使用群集,则 Firepower 9300 中的所有模块都必须是 SM-40s。您可以在各机箱中安装不同数量的安全模块,但机箱中存在的所有模块(包括任何空插槽)必须属于群集。

  • 除进行映像升级外,必须运行完全相同的 FXOS 软件。

  • 对于分配给群集的接口,必须采用相同的接口配置,例如:相同的管理接口、EtherChannel、主用接口、速度和复用等。您可在机箱中使用不同的网络模块类型,但必须满足以下条件:对于相同接口 ID,容量必须匹配,且接口可成功捆绑于同一跨网络 EtherChannel 中。请注意,所有数据接口必须是机箱间群集中的 EtherChannel。如果您要在启用群集(例如,通过添加或删除接口模块,或配置 Etherchannel)后更改 FXOS 中的接口,则请对每个机箱执行相同更改,从从属设备开始,到主设备结束。 请注意,如果您要删除 FXOS 中的接口,ASA 配置将保留相关命令,以便您可以进行任何必要的调整;从配置中删除接口可能具有广泛影响。您可以手动删除旧的接口配置。

  • 必须使用同一台 NTP 服务器。请勿手动设置时间。

  • ASA:每个 FXOS 机箱都必须注册到许可证颁发机构或卫星服务器。从属设备不会产生额外成本。 对于预留永久许可证,必须为每个机箱购买单独的许可证。对于 Firepower 威胁防御,所有许可由 Firepower 管理中心处理。

交换机要求

  • 请务必先完成交换机配置并将机箱中的所有 EtherChannel 成功连接至交换机后,再在 Firepower 4100/9300 机箱 上配置群集。

  • 有关受支持的交换机的特性,请参阅思科 FXOS 兼容性

群集许可证 Firepower 4100/9300 机箱

每个 Firepower 4100/9300 机箱都必须注册到许可证颁发机构或卫星服务器中。从属设备不会产生额外成本。对于预留永久许可证,必须为每个机箱购买单独的许可证。

当您应用注册令牌时,对于符合条件的用户,系统会自动启用强加密许可证。使用令牌时,每个机箱必须具有相同的加密许可证。对于在 ASA 配置中启用的可选强加密(3DES/AES)功能许可证,请参阅下文。

在 ASA 许可证配置中,只能在主设备上配置智能许可。该配置会复制到从属设备,但某些许可证不使用该配置;它仍处于缓存状态,只有主设备才会请求许可证。这些许可证将聚合成一个由群集设备共享的群集许可证,此聚合许可证也会缓存在从属设备上,以便将来某个从属设备变为主设备时使用。每个许可证类型按照如下方式管理:

  • 标准 - 只有主设备从服务器请求标准许可证。由于从属设备上默认会启用标准许可证,因此无需向服务器注册即可使用该许可证。

  • 情景 - 只有主设备从服务器请求情景许可证。默认情况下,标准许可证包括 10 个情景,并且存在于所有群集成员上。每台设备的标准许可证的值加上主设备上的情景许可证的值共同形成了聚合群集许可证中的平台限制。例如:

    • 群集中有 6 个 Firepower 9300 模块。标准许可证包括 10 个情景;因为有 6 台设备,因此这些许可证加起来总共包括 60 个情景。您在主设备上额外配置一个包含 20 个情景的许可证。因此,聚合的群集许可证包括 80 个情景。由于一个模块的平台限制为 250,因此聚合后的许可证最多允许 250 个情景;80 个情景没有超出此限制。因此,您可以在主设备上配置最多 80 个情景;每台从属设备通过配置复制也将拥有 80 个情景。

    • 群集中有 3 台 Firepower 4110 设备。标准许可证包括 10 个情景;因为有 3 台设备,因此这些许可证加起来总共包括 30 个情景。您在主设备上额外配置一个包含 250 个情景的许可证。因此,聚合的群集许可证包括 280 个情景。由于一台设备的平台限制为 250,则聚合后的许可证最多允许 250 个情景;280 个情景超出了此限制。因此,您只能在主设备上配置最多 250 个情景;每台从属设备通过配置复制也将拥有 250 个情景。在本例中,您只应将主情景许可证配置为包括 220 个情景。

  • 运营商 - 分布式站点间 VPN 所需。此许可证按设备进行授权,每台设备从服务器请求其自己的许可证。此许可证配置会复制到从属设备。

  • 强加密 (3DES)(适用于 2.3.0 以前版本的思科智能软件管理器卫星部署,或适用于跟踪访客访问)— 此许可证按设备进行授权,每台设备从服务器请求其自己的许可证。

如果选择了新的主设备,新的主设备继续使用聚合的许可证。它还会使用缓存的许可证配置再次请求主许可证。当旧的主设备作为从属设备重新加入群集后,它会释放主设备许可证授权。在从属设备释放该许可证之前,如果帐户中没有可用的许可证,则主设备的许可证可能处于一个非合规状态。保留的许可证的有效期为 30 天,但如果它在此宽限期过后仍处于非合规状态,您将无法对需要特殊许可证的功能进行配置更改;否则操作将不受影响。新的主用设备每 12 小时发送一次权利授权续约请求,直到许可证合规为止。在对许可证请求进行完整的处理之前,应避免进行配置更改。如果某台设备退出群集,缓存的主配置将被删除,而按设备进行的授权将会保留。尤其是,您需要在非群集设备上重新请求情景许可证。

分布式站点间 VPN 的许可证

每个群集成员上都需要分布式站点间 VPN 的运营商许可证。

每个 VPN 连接都需要两个其他 VPN 许可的会话(其他 VPN 许可证是基础许可证的一部分),一个用于主用会话,一个用于备份会话。由于每个会话使用两个许可证,因此群集的最大 VPN 会话容量不能超过许可容量的一半。

群集准则和限制

机箱间群集的交换机

  • 对于 ASR 9006,如果要设置非默认 MTU,请将 ASR 接口 MTU 设置为高于群集设备 MTU 14 个字节。除非使用 mtu-ignore 选项,否则 OSPF 邻近对等尝试可能会失败。请注意,群集设备 MTU 应与 ASR IPv4 MTU 匹配。

  • 在用于群集控制链路接口的交换机上,您可以选择在连接到群集设备的交换机端口上启用生成树 PortFast 来加快新设备加入群集的过程。

  • 当发现交换机上跨网络 EtherChannel 的绑定速度缓慢时,可以对交换机上的单个接口启用快速 LACP 速率。请注意,某些交换机(如 Nexus 系列)在执行服务中软件升级 (ISSU) 时不支持 LACP 速率“快速”,因此我们建议不要一起使用 ISSU 与群集。

  • 在交换机上,我们建议使用以下其中一种 EtherChannel 负载均衡算法:source-dest-ip source-dest-ip-port (请参阅思科 Nexus OS 和思科 IOS port-channel load-balance 命令)。请勿在负载均衡算法中使用关键字 vlan,否则会导致传输到群集中的设备的流量分摊不均。请勿更改集群设备上默认的负载均衡算法。

  • 如果在交换机上更改 EtherChannel 的负载均衡算法,则交换机上的 EtherChannel 接口将暂时停止转发流量,生成树协议重新启动。在流量再次开始传输之前会存在延迟。

  • 有些交换机不支持 LACP 动态端口优先级(活动链路和备用链路)。您可以禁用动态端口优先级,使跨网络 EtherChannel 具有更高兼容性。

  • 群集控制链路路径上的交换机不应验证第 4 层校验和。群集控制链路上的重定向流量没有正确的第 4 层校验和。交换机验证第 4 层校验和可能导致流量被丢弃。

  • 端口通道绑定中断时间不得超过配置的 keepalive 间隔。

  • 在 Supervisor 2T EtherChannel 上,默认的散列值分配算法是自适应算法。为了避免 VSS 设计中的非对称流量,请将连接到群集设备的端口通道上的散列算法更改为固定:

    router(config)# port-channel id hash-distribution fixed

    请勿全局更改算法;您可能需要对 VSS 对等链路使用自适应算法。

机箱间群集的 EtherChannel

  • 默认情况下系统将 FXOS EtherChannel 的 LACP 速率设为快速。某些交换机(如 Nexus 系列)在执行服务中软件升级 (ISSU) 时不支持 LACP 速率“快速”,因此我们建议不要一起使用 ISSU 与群集。

  • 在低于 15.1(1)S2 的 Catalyst 3750-X 思科 IOS 软件版本中,此群集设备不支持将 EtherChannel 连接到交换机堆叠。在默认交换机设置下,如果跨堆叠连接群集设备 EtherChannel,则当主交换机关闭时,连接到其余交换机的 EtherChannel 不会正常工作。要提高兼容性,请将 stack-mac persistent timer 命令设置为足够大的值,以将重载时间计算在内;例如,可将其设置为 8 分钟,或设置为 0 以表示无穷大。或者,您可以升级到更加稳定的交换机软件版本,例如 15.1(1)S2。

  • 跨网络与设备本地 EtherChannel 配置 - 请务必为跨网络 EtherChannel 和设备本地 EtherChannel 适当地配置交换机。

    • 跨网络 EtherChannel - 对于跨越所有群集成员的群集设备跨网络 EtherChannel,所有接口在交换机上合并为一个 EtherChannel。请确保每个接口都属于交换机上的同一个通道组。

    • 设备本地 EtherChannel - 对于群集设备本地 EtherChannels,包括为群集控制链路配置的任何 EtherChannel,请务必在交换机上配置分散的 EtherChannel;请勿在交换机上将多个群集设备 EtherChannel 合并为一个 EtherChannel。

站点间群集

请参阅有关站点间群集的以下准则:

  • 群集控制链路的延迟必须小于 20 微秒往返时间 (RTT)。

  • 群集控制链路必须可靠,没有数据包无序或丢弃数据包的情况;例如,您应使用专用链路。

  • 请勿配置连接再均衡;您不需要将连接再均衡到位于不同站点的群集成员。

  • 对于传入连接而言,位于多个站点的成员之间的群集实施没有区别;因此,给定连接的连接角色可以跨越所有站点。这是预期行为。但是,如果您启用导向器本地化,系统将始终从连接所有者所在同一站点选择本地导向器角色(根据站点 ID)。此外,如果原始所有者发生故障,本地导向器将在同一站点选择新的连接所有者(注意:如果不同站点间的流量非对称,且原始所有者发生故障后远程站点继续发出流量,则远程站点设备可能成为新的所有者,但条件是该设备在重新托管期间接收到数据包。)。

  • 对于导向器本地化,以下流量类型不支持本地化:NAT 或 PAT 流量;SCTP 检查的流量;分段所有者查询。

  • 对于透明模式,如果群集布置于内部和外部路由器对之间(AKA 南北插入),您必须确保两个内部路由器共享一个 MAC 地址,两个外部路由器共享一个 MAC 地址。当位于站点 1 的群集成员将连接转发到位于站点 2 的成员时,目标 MAC 地址会被保留。如果该 MAC 地址与位于站点 1 的路由器相同,则数据包只会到达位于站点 2 的路由器。

  • 对于透明模式,如果群集布置于每个站点上的数据网络和网关路由器之间,用作内部网络之间的防火墙(AKA 东西插入),则每个网关路由器都应使用 HSRP 等第一跳冗余协议 (FHRP) 在每个站点提供相同的虚拟 IP 和 MAC 地址目标。数据 VLAN 使用重叠传输虚拟化 (OTV) 或类似技术扩展到多个站点。您需要创建过滤器,阻止发往本地网关路由器的流量通过 DCI 发送到另一站点。如果无法访问一个站点上的网关路由器,则您需要删除所有过滤器,使流量能够成功到达另一站点的网关。

  • 对于使用跨网络 EtherChannel 的路由模式,请配置站点特定的 MAC 地址。使用 OTV 或类似技术跨站点扩展数据 VLAN 。您需要创建过滤器,阻止发往全局 MAC 地址的流量通过 DCI 发送到另一站点。如果无法访问一个站点上的群集,则您需要删除所有过滤器,使流量能够成功到达另一站点的群集设备。当站点间群集作为扩展网段的第一跳路由器时,不支持动态路由。

其他规定

  • 当拓扑发生重大更改时(例如添加或删除 EtherChannel 接口、启用或禁用 Firepower 4100/9300 机箱或交换机上的接口、添加其他交换机以形成 VSS 或 vPC),应禁用运行状况检查功能,另外还应为禁用的接口禁用接口监控。当拓扑结构更改完成且配置更改已同步到所有设备后,您可以重新启用运行状况检查功能。

  • 将设备添加到现有群集时或重新加载设备时,会有限地暂时丢弃数据包/断开连接;这是预期行为。在某些情况下,丢弃的数据包可能会挂起连接;例如,丢弃 FTP 连接的 FIN/ACK 数据包会使 FTP 客户端挂起。在此情况下,您需要重新建立 FTP 连接。

  • 如果使用连接到跨网络 EtherChannel 接口的 Windows 2003 服务器,当系统日志服务器端口关闭且服务器未限制 ICMP 错误消息时,会有大量 ICMP 消息被发回群集。这些消息可能会导致群集的某些设备出现高 CPU 问题,从而可能影响性能。因此,我们建议您限制 ICMP 错误信息。

  • 我们建议将 EtherChannel 连接到 VSS 或 vPC,以实现冗余。

  • 在机箱内,您不能对某些安全模块进行群集,也不能在单机模式下运行其他安全模块;必须在群集内包含所有安全模块。

默认值

  • 默认情况下,群集运行状况检查功能处于启用状态,保持时间为 3 秒。默认情况下,在所有接口上启用接口运行状况监控。

  • 默认情况下,连接再均衡处于禁用状态。如果启用连接再均衡,交换负载信息的默认间隔时间为 5 秒。

  • 出现故障的群集控制链路的群集自动重新加入功能设置为无限次尝试,每隔 5 分钟进行一次。

  • 出现故障的数据接口的群集自动重新加入功能设置为尝试 3 次,每 5 分钟一次,递增间隔设置为 2。

  • 对于 HTTP 流量,默认启用 5 秒的连接复制延迟。

Firepower 4100/9300 机箱上配置群集

您可以从 Firepower 4100/9300 机箱管理引擎轻松部署群集。自动为每台设备生成所有初始配置。本节介绍可在 ASA 上执行的默认引导程序配置和可选定制。本节还将介绍如何从 ASA 中管理群集成员。您还可以通过 Firepower 4100/9300 机箱管理群集成员关系。有关详细信息,请参阅 Firepower 4100/9300 机箱文档。

过程


步骤 1

FXOS:添加 ASA 群集

步骤 2

ASA:配置防火墙模式和情景模式

步骤 3

ASA:配置数据接口

步骤 4

ASA:自定义群集配置

步骤 5

ASA:管理群集成员


FXOS:配置接口

对于群集,您需要配置下列类型的接口:

  • 部署群集之前,至少添加一个“数据 (Data)”类型接口或 EtherChannel(也称为端口通道)。请参阅添加 EtherChannel(端口通道)配置物理接口

    对于机箱间群集,所有数据接口必须为至少带有一个成员接口的跨网络 EtherChannel。在每个机箱上添加同一 EtherChannel。将所有群集设备上的成员接口合并到交换机上的单个 EtherChannel 中。有关机箱间群集 EtherChannel 的详细信息,请参阅群集准则和限制

    默认情况下,所有接口都会分配给群集。 对于机箱间集群,仅分配 EtherChannel;您无法分配其他接口类型。部署之后,您也可以将数据接口添加到群集。

  • 添加“管理 (Management)”类型接口或 EtherChannel。请参阅添加 EtherChannel(端口通道)配置物理接口

    管理接口是必需的。请注意,此管理接口与仅用于机箱管理的机箱管理接口不同(在 FXOS 中,您可能会看到机箱管理接口显示为 MGMT、management0 或其他类似名称)。

    对于机箱间群集,在各机箱上添加相同的“管理 (Management)”接口。

  • 对于机箱间群集,将成员接口添加到群集控制链路 EtherChannel(默认情况下为端口通道 48)。请参阅添加 EtherChannel(端口通道)

    请勿为机箱内群集添加成员接口。例如,如果添加成员,则机箱假设此群集为机箱间群集,且将仅允许您使用跨网络 EtherChannel。

    接口 (Interfaces) 选项卡上,如果不包括任何成员接口,则端口通道 48 群集类型接口的运行状态 (Operation State)将显示为失败 (failed)。对于机箱内群集,此 EtherChannel 无需任何成员接口,您可忽略此“运行状态 (Operational State)”。

    在各机箱上添加相同的成员接口。群集控制链路是每个机箱上的设备本地 EtherChannel。在交换机上对每个设备使用单独的 Etherchannel。有关机箱间群集 EtherChannel 的详细信息,请参阅群集准则和限制

配置物理接口

您可以通过物理方式启用和禁用接口,并设置接口速度和双工。要使用某一接口,必须在 FXOS 中以物理方式启用它,并在应用中以逻辑方式启用它。

开始之前
  • 不能单独修改已经是 EtherChannel 成员的接口。务必在将接口添加到 EtherChannel 之前为其配置设置。

过程

步骤 1

选择接口 (Interfaces) 打开 Interfaces 页面。

所有接口页面顶部显示当前已安装的接口的直观展示图,在下表中提供已安装接口列表。

步骤 2

在您要编辑的接口所对应的行中点击编辑 (Edit),可打开编辑接口 (Edit Interface) 对话框。

步骤 3

要启用接口,请选中启用 (Enable) 复选框。要禁用接口,请取消选中启用 (Enable) 复选框。

步骤 4

选择接口类型数据管理集群

请勿选择集群类型;默认情况下,系统会自动在端口通道 48 上创建群集控制链路。

步骤 5

(可选) 从速度下拉列表中选择接口的速度。

步骤 6

(可选) 如果您的接口支持自动协商,请点击单选按钮。

步骤 7

(可选) 从双工下拉列表中选择接口双工。

步骤 8

点击 OK


添加 EtherChannel(端口通道)

EtherChannel(也称为端口通道)最多可以包含 16 个同一类型的成员接口。链路汇聚控制协议 (LACP) 将在两个网络设备之间交换链路汇聚控制协议数据单元 (LACPDU),进而汇聚接口。

您可以将 EtherChannel 中的每个物理数据接口配置为:

  • Active - 发送和接收 LACP 更新。主用 EtherChannel 可以与主用或备用 EtherChannel 建立连接。除非您需要最大限度地减少 LACP 流量,否则应使用主用模式。

  • 开启 - EtherChannel 始终开启,并且不使用 LACP。“开启”的 EtherChannel 只能与另一个“开启”的 EtherChannel 建立连接。



如果将其模式从打开更改为主用或从主用更改为打开状态,则可能需要多达三分钟的时间才能使 EtherChannel 进入运行状态。


非数据接口仅支持主用模式。

LACP 将协调自动添加和删除指向 EtherChannel 的链接,而无需用户干预。LACP 还会处理配置错误,并检查成员接口的两端是否连接到正确的通道组。 如果接口发生故障且未检查连接和配置,“开启”模式将不能使用通道组中的备用接口。

Firepower 4100/9300 机箱 创建 EtherChannel 时,EtherChannel 将处于挂起状态(对于主动 LACP 模式)或关闭状态(对于打开 LACP 模式),直到将其分配给逻辑设备,即使物理链路是连通的。EtherChannel 在以下情况下将退出挂起 (Suspended) 状态:

  • 将 EtherChannel 添加为独立逻辑设备的数据或管理端口

  • 将 EtherChannel 添加为属于群集一部分的逻辑设备的管理接口或群集控制链路

  • 将 EtherChannel 添加为属于群集一部分的逻辑设备的数据端口,并且至少有一个单元已加入该群集

请注意,EtherChannel 在您将它分配到逻辑设备前不会正常工作。如果从逻辑设备移除 EtherChannel 或删除逻辑设备,EtherChannel 将恢复为挂起关闭状态。

过程

步骤 1

选择接口 (Interfaces) 打开 Interfaces 页面。

所有接口页面顶部显示当前已安装的接口的直观展示图,在下表中提供已安装接口列表。

步骤 2

点击接口表上方的添加端口通道 (Add Port Channel),可打开添加端口通道 (Add Port Channel) 对话框。

步骤 3

端口通道 ID (Port Channel ID) 字段中输入端口通道 ID。有效值介于 1 与 47 之间。

部署群集逻辑设备时,端口通道 48 为群集控制链路预留。如果不想将端口通道 48 用于群集控制链路,您可以为 EtherChannel 配置不同的 ID,为接口选择“群集 (Cluster)”类型。只能添加一个 EtherChannel 的群集类型。对于机箱内群集,请不要将任何接口分配给群集 EtherChannel。

步骤 4

要启用端口通道,请选中启用 (Enable) 复选框。要禁用端口通道,请取消选中启用 (Enable) 复选框。

步骤 5

选择接口类型数据管理集群

只能添加一个 EtherChannel 的群集类型(默认情况下为端口通道 48)。

步骤 6

从下拉列表设置成员接口的管理速度

步骤 7

对于数据接口,选择 LACP 端口通道模式主用保持

对于非数据接口,模式始终是主用模式。

步骤 8

设置管理双工全双工半双工

步骤 9

要将接口添加到端口通道,请在可用接口 (Available Interface) 列表中选择该接口,点击添加接口 (Add Interface),将接口移动至“成员 ID (Member ID)”列表。您最多可以添加 16 个同一类型和速度的接口。

提示 

一次可添加多个接口。要选择多个独立接口,请点击所需的接口,同时按住 Ctrl 键。要选择一个接口范围,请选择范围中的第一个接口,然后,在按住 Shift 键的同时,点击选择范围中的最后一个接口。

步骤 10

要从端口通道删除接口,请点击“成员 ID (Member ID)”列表中接口右侧的删除 (Delete) 按钮。

步骤 11

点击确定 (OK)


FXOS:添加 ASA 群集

您可以将单个 Firepower 9300 机箱添加为机箱内群集,或添加多个机箱以实现机箱间群集 对于机箱间群集,您必须单独配置每个机箱。在一个机箱上添加群集;然后,您可以将引导程序配置从第一个机箱复制到下一个机箱,实现轻松部署

创建 ASA 群集

您可以从 Firepower 4100/9300 机箱管理引擎轻松部署群集。自动为每台设备生成所有初始配置。

对于机箱间群集,您必须单独配置每个机箱。在一个机箱上部署群集;然后,您可以将引导程序配置从第一个机箱复制到下一个机箱,实现轻松部署。

在 Firepower 9300 机箱中,必须对全部 3 个模块插槽)启用群集,即使您没有安装模块。如果不配置全部 3 个模块,群集将不会正常工作。

对于多情景模式,您必须先部署逻辑设备,然后在 ASA 应用中启用多情景模式。

在部署群集时,Firepower 4100/9300 机箱管理引擎将使用以下引导程序配置对每个 ASA 应用进行配置。以后如果需要,可以通过 ASA 修改引导程序配置的组成部分(以粗体文字显示)。


interface Port-channel48
   description Clustering Interface
cluster group <service_type_name>
   key <secret>
   local-unit unit-<chassis#-module#>
   site-id <number>
   cluster-interface port-channel48 ip 127.2.<chassis#>.<module#> 255.255.255.0
   priority <auto>
   health-check holdtime 3
   health-check data-interface auto-rejoin 3 5 2
   health-check cluster-interface auto-rejoin unlimited 5 1
   enable

ip local pool cluster_ipv4_pool <ip_address>-<ip_address> mask <mask>

interface <management_ifc>
   management-only individual
   nameif management
   security-level 0
   ip address <ip_address> <mask> cluster-pool cluster_ipv4_pool   
   no shutdown

http server enable
http 0.0.0.0 0.0.0.0 management 
route management <management_host_ip> <mask> <gateway_ip> 1


如果禁用群集,则只能更改 local-unit 名称。


开始之前
  • 从 Cisco.com 下载要用于逻辑设备的应用映像,然后将映像上传至 Firepower 4100/9300 机箱

  • 收集以下信息:

    • 管理接口 ID、IP 地址和网络掩码

    • 网关 IP 地址

过程

步骤 1

配置接口。请参阅FXOS:配置接口

步骤 2

选择逻辑设备

步骤 3

点击添加 > 集群添加设备,并设置以下参数:

  1. 选择我想: > 新建集群

  2. 提供设备名称

    此名称由机箱管理引擎用于配置管理设置和分配接口;它不是在应用配置中使用的设备名称。

  3. 对于模板 (Template),请选择思科自适应安全设备 (Cisco Adaptive Security Appliance)

  4. 选择映像版本

  5. 对于实例类型,仅支持本地类型。

  6. 点击确定 (OK)

    屏幕会显示调配 - 设备名称 (Provisioning - device name) 窗口。所有接口都会分配给群集。

步骤 4

点击屏幕中心的设备图标。

系统将显示对话框,可以在该对话框中配置初始引导程序设置。这些设置仅用于仅初始部署或灾难恢复。为了实现正常运行,稍后可以更改应用 CLI 配置中的大多数值。

步骤 5

集群信息页面上,完成以下操作。

  1. 对于机箱间群集,在机箱 ID 中,输入机箱 ID。群集中的每个机箱都必须使用唯一 ID。

    仅当向群集控制链路端口通道 48 添加成员接口时,才会显示此字段。

  2. 对于站点间群集,在站点 ID (Site ID) 字段中输入此机箱的站点 ID(1 和 8 之间的整数)。

  3. 集群密钥 (Cluster Key) 字段中,为群集控制链路上的控制流量配置身份验证密钥。

    共享密钥是长度介于 1 和 63 个字符之间的 ASCII 字符串。共享密钥用于生成密钥。此选项不影响数据路径流量,包括连接状态更新和转发的数据包,它们始终以明文发送。

  4. 设置集群组名称 (Cluster Group Name),即逻辑设备配置中的群集组名称。

    名称必须是长度为 1 到 38 个字符的 ASCII 字符串。

  5. 选择管理接口

    此接口用于管理逻辑设备。此接口独立于机箱管理端口。

  6. 选择管理接口的地址类型 (Address Type)

    此信息用于配置 ASA 配置中的管理接口。设置以下信息:

    • 管理 IP 池 - 配置本地 IP 地址池,其中一个地址将分配给接口的每个群集设备,方法是输入以连字符分隔的起始地址和结束地址。

      至少包含与群集中的设备数量相同的地址。请注意,对于 Firepower 9300,每台机箱必须包括 3 个地址,即使未填满所有模块插槽。如果计划扩展群集,则应包含更多地址。属于当前主设备的虚拟 IP 地址(称作“主群集 IP 地址”)在此地址池中;请务必在同一个网络中为主群集 IP 地址保留一个 IP 地址。您可以使用 IPv4 和/或 IPv6 地址。

    • 网络掩码前缀长度

    • 网络网关

    • 虚拟 IP 地址 - 设置当前主设备的管理 IP 地址。此 IP 地址必须与群集池地址属于同一个网络,但不在地址池中。

步骤 6

设置页面上,执行以下操作。

  1. 防火墙模式 (Firewall Mode) 下拉列表中选择透明 (Transparent)路由 (Routed)

    在路由模式中,FTD被视为网络中的路由器跃点。要在其间路由的每个接口都位于不同的子网上。另一方面,透明防火墙是一个第 2 层防火墙,充当“线缆中的块”或“隐蔽的防火墙”,不被视为是到所连接设备的路由器跃点。

    系统仅在初始部署时设置防火墙模式。如果您重新应用引导程序设置,则不会使用此设置。

  2. 输入并确认管理员用户和启用密码密码

    预配置的 ASA 管理员用户在进行密码恢复时非常有用;如果您有 FXOS 访问权限,在您忘记了管理员用户密码时,可以将其重置。

步骤 7

点击确定 (OK) 关闭配置对话框。

步骤 8

点击保存 (Save)

机箱通过下载指定软件版本,并将引导程序配置和管理接口设置推送至应用实例来部署逻辑设备。在逻辑设备页面中,查看新逻辑设备的状态。当逻辑设备将其状态显示为在线时,可以开始在应用中配置安全策略。

步骤 9

对于机箱间群集,将下一个机箱添加到群集中:

  1. 在第一个机箱 Firepower 机箱管理器上,点击右上角的显示配置图标(显示配置图标;复制显示的群集配置。

  2. 连接到下一个机箱上的 Firepower 机箱管理器,然后按照此程序添加逻辑设备。

  3. 选择我想要:> 加入现有集群

  4. 确定

  5. 复制集群详细信息 (Copy Cluster Details) 对话框中,粘贴第一个机箱的群集配置,然后点击确定 (OK)

  6. 点击屏幕中心的设备图标。群集信息通常已预填充,但您必须更改以下设置:

    • 机箱 ID (Chassis ID) - 输入唯一的机箱 ID。

    • 站点 ID (Site ID) - 输入正确的站点 ID。

    • 集群密钥 (Cluster Key) -(未预填充)输入相同的群集密钥。

    点击确定 (OK)

  7. 点击保存

步骤 10

连接到主设备 ASA 以自定义群集配置。


添加更多群集成员

添加或替换 ASA 群集成员。



此程序仅适用于添加或替换机箱;如果将模块添加或替换到已启用群集的 Firepower 9300,则该模块将自动添加。


开始之前
  • 确保现有群集在此新成员的管理 IP 地址池中有足够的 IP 地址。如果没有,您需要在每个机箱上编辑现有群集引导程序配置,然后才可添加此新成员。此更改将导致重新启动逻辑设备。

  • 新机箱上的接口配置必须相同。您可以导出和导入 FXOS 机箱配置以简化此过程。

  • 对于多情景模式,在第一个群集成员上的 ASA 应用中启用多情景模式;其他群集成员将自动继承多情景模式配置。

过程

步骤 1

在现有群集机箱Firepower 机箱管理器 上,选择逻辑设备打开逻辑设备页面。

步骤 2

单击右上角的显示配置图标(显示配置图标;复制显示的群集配置。

步骤 3

连接到新机箱上的 Firepower 机箱管理器,然后单击添加 > 群集

步骤 4

选择我想要: > 加入现有群集

步骤 5

对于设备名称 (Device Name),请为逻辑设备提供一个名称。

步骤 6

确定

步骤 7

复制集群详细信息 (Copy Cluster Details) 对话框中,粘贴第一个机箱的群集配置,然后点击确定 (OK)

步骤 8

点击屏幕中心的设备图标。群集信息通常已预填充,但您必须更改以下设置:

  • 机箱 ID (Chassis ID) - 输入唯一的机箱 ID。

  • 站点 ID (Site ID) - 输入正确的站点 ID。

  • 集群密钥 (Cluster Key) -(未预填充)输入相同的群集密钥。

单击 OK

步骤 9

单击 Save


ASA:配置防火墙模式和情景模式

默认情况下,FXOS 机箱在路由防火墙模式和单情景模式下部署群集。

  • 更改防火墙模式 - 要在部署后更改模式,请更改主设备上的模式;从属设备上的模式将自动更改以实现匹配。。在多情景模式下,应逐个情景设置防火墙模式。请参阅 ASA 一般操作配置指南。

  • 更改为多情景模式 - 要在部署后更改为多情景模式,请更改主设备上的模式;从属设备上的模式将自动更改以实现匹配。请参阅 ASA 一般操作配置指南。

ASA:配置数据接口

此程序配置您在 FXOS 中部署群集时为其分配的每个数据接口的基本参数。对于机箱间群集,数据接口始终是跨网络的 EtherChannel 接口。



管理接口在您部署群集时预先配置。您还可以在 ASA 中更改管理接口参数,但此程序侧重于数据接口。管理接口是一个单独的接口,而不是跨网络接口。有关详细信息,请参阅管理接口


开始之前

  • 对于多情景模式,请在系统执行空间中开始本程序。如果尚未进入系统配置模式,然后在“配置 > 设备列表”窗格中,双击主用设备 IP 地址下的系统

  • 对于透明模式,请配置网桥组。

  • 将跨网络 EtherChannel 用于机箱间群集时,端口通道接口在群集完全启用之前不会进入工作状态。此要求可防止将流量转发到群集中并非处于活动状态的设备。

过程


步骤 1

视情景模式而定:

  • 对于单情景模式,请依次选择 Configuration > Device Setup > Interface Settings > Interfaces 窗格。

  • 对于多情景模式,请在系统执行空间中依次选择 Configuration > Context Management > Interfaces 窗格。

步骤 2

选择接口,然后点击 Edit

系统将显示 Edit Interface 对话框。

步骤 3

进行以下设置:

  • (对于 Etherchannel)MIO 端口通道 ID - 输入在 FXOS 中使用的相同 ID。

  • Enable Interface(默认选中)

本程序稍后将介绍此屏幕上的其余字段。

步骤 4

要配置 MAC 地址和可选参数,请点击 Advanced 选项卡。

  • MAC Address Cloning 区域,为 EtherChannel 设置手动全局 MAC 地址。请勿设置备用 MAC 地址;它会被忽略。您必须为跨网络 EtherChannel 配置全局 MAC 地址,以避免潜在的网络连接问题:如果是手动配置的 MAC 地址,该 MAC 地址将始终属于当前的主设备。如果不配置 MAC 地址,则如果主设备发生更改,新的主设备会将新的 MAC 地址用于该接口,而这可能导致临时网络故障。

    在多情景模式下,如果您在情景之间共享接口,则应改为启用自动生成 MAC 地址,这样就无需手动设置 MAC 地址。请注意,您必须使用此命令为非共享接口手动配置 MAC 地址。

  • ASA 集群区域中,通过点击添加并为站点 ID(1 至 8)指定 MAC 地址和 IP 地址,为站点间群集设置站点特定的 MAC 地址以及 IP 地址(对于路由模式)。最多可为 8 个站点重复该过程。站点特定的 IP 地址必须与全局 IP 地址位于同一子网。供设备使用的站点特定的 MAC 地址和 IP 地址取决于您在每台设备的引导程序配置中指定的站点 ID。

步骤 5

(可选)在此 EtherChannel 上配置 VLAN 子接口。本程序的其余部分适用于子接口。

步骤 6

(多情景模式)完成本程序之前,您需要将接口分配到情景。

  1. 点击 OK 接受更改。

  2. 分配接口。

  3. 更改为要配置的情景:在 Device List 窗格中双击主用设备 IP 地址下的情景名称。

  4. 依次选择 Configuration > Device Setup > Interface Settings > Interfaces 窗格,选择要自定义的端口通道接口,然后点击 Edit

    系统将显示 Edit Interface 对话框。

步骤 7

点击 General 选项卡。

步骤 8

(透明模式)从 Bridge Group 下拉列表中选择要将此接口分配到的网桥组。

步骤 9

接口名称字段中,输入长度最大为 48 个字符的名称。

步骤 10

Security level 字段中,输入介于 0(最低)和 100(最高)之间的级别。

步骤 11

(路由模式)对于 IPv4 地址,请点击 Use Static IP 单选按钮,然后输入 IP 地址和掩码。不支持 DHCP 和 PPPoE。对于点对点连接,可以指定 31 位子网掩码 (255.255.255.254)。在此情况下,不会为网络或广播地址保留 IP 地址。对于透明模式,您应为网桥组接口而非 EtherChannel 接口配置 IP 地址。

步骤 12

(路由模式)要配置 IPv6 地址,请点击 IPv6 选项卡。

对于透明模式,您应为网桥组接口而非 EtherChannel 接口配置 IP 地址。

  1. 选中 Enable IPv6 复选框。

  2. Interface IPv6 Addresses 区域,点击 Add

    系统将显示 Add IPv6 Address for Interface 对话框。

     

    不支持启用地址自动配置选项。

  3. Address/Prefix Length 字段中,输入全局 IPv6 地址和 IPv6 前缀长度。例如,2001:DB8::BA98:0:3210/64。

  4. (可选)要使用经过修改的 EUI-64 接口 ID 作为主机地址,请选中 EUI - 64 复选框。在此情况下,只需在 Address/Prefix Length 字段中输入前缀。

  5. 点击 OK

步骤 13

点击 OK 以返回到 Interfaces 屏幕。

步骤 14

单击 Apply


ASA:自定义群集配置

如果您在部署群集或配置其他选项(例如群集运行状况监控、TCP 连接复制延迟、流移动性和其他优化)后想要更改引导程序设置,您可以在主设备上执行此操作。

配置基本 ASA 群集参数

您可以在主设备上自定义群集设置。

开始之前
  • 对于多情景模式,请在主设备的系统执行空间中完成本程序。如果您尚未进入系统配置模式,请在 Configurationn > Device List 窗格中双击主用设备 IP 地址下的 System

  • 本地设备成员名称和多个其他选项只能在 FXOS 机箱上设置,或者只能在禁用群集的情况下才能在 ASA 上进行更改,因此以下程序未包括这些选项。

过程

步骤 1

依次选择 Configuration > Device Management > High Availability and Scalability > ASA Cluster

步骤 2

(可选) 配置以下可选参数:

  • 站点定期 GARP — ASA 可以生成免费 ARP (GARP) 数据包,以确保交换基础设施始终处于最新状态:它将作为每个站点优先级最高的成员,定期生成流向全局 MAC/IP 地址的 GARP 流量。当您为每台设备设置站点 ID 和为每个跨区以太网通道设置站点 MAC 和 IP地址时,默认启用 GARP。设置介于 1 和 1000000 秒之间的 GARP 间隔。默认值为 290 秒。

    当使用来自群集的各站点 MAC 和 IP 地址数据包使用站点特定的 MAC 地址和 IP 地址时,群集接收的数据包使用全局 MAC 地址和 IP 地址。如果流量不是定期从全局 MAC 地址生成的,您的全局 MAC 地址交换机上可能会出现 MAC 地址超时。发生超时后,以全局 MAC 地址为目标的流量将在整个交换基础设施中进行泛洪,这有可能造成性能和安全问题。

  • Enable connection rebalancing for TCP traffic across all the ASAs in the cluster - 启用连接再均衡。默认情况下,此参数处于禁用状态。如果已启用,ASA 会在群集中定期交换负载信息,并会将负载较大设备的新连接分流到负载较少的设备。此频率的值为 1 到 360 秒,用于指定多长时间交换一次负载信息。此参数并非引导程序配置的一部分,而是从主设备复制到从属设备上的。

  • 启用群负载监控 — 您可以监控群集成员的流量负载,包括总连接计数、CPU 和内存使用情况以及缓冲区丢弃。如果负载过高,且剩余的设备可以处理负载,您可以选择在设备上手动禁用群集,或调整外部交换机上的负载均衡。默认情况下启用此功能。例如,对于每个机箱中具有 3 个安全模块的 Firepower 9300 上的机箱间群集,如果机箱中的 2 个安全模块离开群集,则与该机箱的相同数量的流量将被发送到剩余的模块,并可能压垮它. 您可以定期监控流量负载。如果负载过高,您可以选择手动禁用设备上的群集。

    设置以下值:

    • 时间间隔 — 设置监控邮件之间的时间(以秒为单位),范围介于 10到 360 秒之间。默认值为 20 秒。

    • 间隔数 — 设置 ASA 维护数据的间隔数量,该值介于 1 到 60 之间。默认值为 30。

    请参阅监控 > ASA 集群 > 集群负载监控以查看流量负载。

  • 在群集内启用此设备的运行状况监控 - 启用群集设备运行状况检查功能,并确定设备发送 heartbeat 状态消息之间的时间段,范围介于 .3 到 45 秒之间;默认值为 3 秒。注意:在向群集中添加新设备及更改 ASA 或交换机上的拓扑时,应临时禁用此功能,直到群集完成;此外,请对禁用的接口禁用接口监控 (Configuration > Device Management > High Availability and Scalability > ASA Cluster > Cluster Interface Health Monitoring)。您可以在群集和拓扑更改完成之后重新启用此功能。为了确定设备运行状况,ASA 群集设备会在群集控制链路上将 heartbeat 消息发送到其他设备。如果设备在保持期内未接收到来自对等设备的任何 heartbeat 消息,则对等设备被视为无响应或无法工作。

  • 防反跳时间 — 配置 ASA 将接口视为发生故障并将设备从群集中删除之前经过的防反跳时间。此功能可以加快接口故障检测的速度。请注意,如果配置的防反跳时间较低,会增加误报几率。在发生接口状态更新时,ASA 会等待指定的毫秒数,然后才将接口标记为发生故障,并将设备从群集中删除。 对于从故障状态转换为正常运行状况的 EtherChannel(例如,交换机重新加载或交换机启用 EtherChannel)而言,更长的防反跳时间可以防止集群上的接口仅仅因为另一个集群设备在绑定端口时的速度更快便显示为故障状态。默认的防反跳时间是 500 毫秒,该时间的范围是 300 毫秒至 9 秒。

  • 将控制台输出复制到主设备控制台 - 启用从属设备到主设备的控制台复制。默认情况下会禁用此功能。对于特定关键事件,ASA 可直接接某些消息传输到控制台。如果启用了控制台复制,从属设备会将控制台消息发送到主设备,因此您只需要监控群集的一个控制台端口。此参数并非引导程序配置的一部分,而是从主设备复制到从属设备上的。

  • 启用群集流移动性。请参阅配置 LISP 检测

  • 对数据中心间群集启用导向器本地化 — 为了提高性能并减少数据中心的站点间群集的往返时间延迟,您可以启用控制器本地化。新连接通常负载均衡,并归特定站点内的群集成员所有。但是,ASA 会向任意站点的成员分配导向器角色。导向器本地化支持其他导向器角色:与所有者同一站点的本地导向器和位于任意站点的全局导向器。所有者和导向器位于同一站点有利于提高性能。另外,如果原始所有者失败,本地导向器会选择同一站点的全新连接所有者。当群集成员收到属于其他站点的连接的数据包时,使用全局导向器。

  • 站点冗余 — 为保护流不受站点故障影响,您可以启用站点冗余。如果连接的备份所有者与所有者位于同一站点,则将从另一个站点选择一个额外的备份所有者来保护流量免受站点故障的影响。导向器本地化和站点冗余是单独的功能;您可以配置其中一个,或同时配置两者。

  • 启用配置同步加速 — 当从属设备与主设备配置相同时,系统将跳过配置同步操作,从而加快加入群集的速度。此功能默认启用。此功能需要在每部设备上单独配置,而不是从主设备复制到从属设备。

     

    某些配置命令与加速群集加入不兼容;如果设备上存在这些命令,即使已启用加速群集加入,也始终会出现配置同步。您必须删除不兼容的配置,以加速群集加入工作。使用 show cluster info unit-join-acceleration incompatible-config 查看不兼容的配置。

步骤 3

集群控制链路区域中,您可以配置群集控制链路 MTU。不能在 ASA 上配置此区域中的其他选项。

  • MTU - 为群集控制链路接口指定最大传输单位。我们建议将 MTU 设置为最大 9184;最小值为 1400 个字节。

步骤 4

(可选) 在集群 LACP 区域中,您可以启用静态端口优先级。ASA 使用 cLACP 与邻居交换机协商 EtherChannel。群集中的 ASA 可协作协商 cLACP,以使它们对于交换机看起来像是单一(虚拟)设备。在未禁用群集的情况下,不能在 ASA 上配置此区域中的其他选项。

  • Enable static port priority - 禁用 LACP 中的动态端口优先级。某些交换机不支持动态端口优先级,所以此参数可提高交换机兼容性。此外,它还能支持 8 个以上的活动跨网络 EtherChannel 成员,最多可支持 32 个成员。如果不使用此参数,则只能支持 8 个活动成员和 8 个备用成员。如果启用此参数,则无法使用任何备用成员;所有成员都是活动成员。此参数并非引导程序配置的一部分,而是从主设备复制到从属设备上的。

步骤 5

(可选) (仅限 Firepower 9300)在按机箱并行加入设备区域,确保机箱中的安全模块同时加入群集,以便在模块之间均匀分配流量。如果某个模块先于其他模块很早加入,它可能会收到超过所需的流量,因为其他模块还无法分担负载。

  • 加入所需的最少设备数量 - 指定在模块可以加入群集之前,同一机箱中需要准备就绪的最小模块数量,介于 1 和 3 之间。默认值为 1,这意味着模块在加入群集之前不会等待其他模块准备就绪。例如,如果您将该值设为 3,则每个模块将会等待最大延迟时间,或直至所有 3 个模块准备就绪,才会加入群集。所有 3 个模块将大致同时请求加入群集,并几乎同时开始接收流量。

  • 最大加入延迟 - 指定模块在加入群集之前,停止等待其他模块准备就绪之前的最大延迟时间,以分钟为单位,介于 0 和 30 分钟之间。默认值为 0,这意味着模块在加入群集之前不会等待其他模块准备就绪。如果您将最少设备数设为 1,则此值必须是 0。如果您将最少设备数设为 2 或 3,则此值必须是 1 或更大的值。此计时器按模块执行,但当第一个模块加入群集时,则所有其他模块计时器将会结束,并且其余模块也会加入群集。

例如,您将最少设备数设为 3 个,并将最大延迟时间设为 5 分钟。当模块 1 启动时,会开始其 5 分钟计时器。模块 2 在 2 分钟后启动,并启动其 5 分钟计时器。模块 3 在 1 分钟后启动,因此所有模块现在将在 4 分钟时加入群集;它们不会等待计时器完成。如果模块 3 一直没有启动,则模块 1 将在 5 分钟计时器结束时加入群集,模块 2 也会加入,尽管其计时器还剩余 2 分钟;它不会等待其计时器完成。

步骤 6

单击 Apply


配置接口运行状态监控和自动重新加入设置

您可能想禁用不重要的接口(例如管理接口)的运行状况检查。您可以监控任何端口通道 ID 或单一物理接口 ID。运行状况监控不在 VLAN 子接口或虚拟接口(例如,VNI 或 BVI)上执行。您不能为群集控制链路配置监控;它始终处于被监控状态。

过程

步骤 1

依次选择配置 > 设备管理 > 高可用性和可扩展性 > ASA 集群 > 集群接口运行状况监控

步骤 2

Monitored Interfaces 对话框中选择一个接口,然后点击 Add,将其移动到 Unmonitored Interfaces 对话框中。

接口状态消息将检测链路故障。如果特定逻辑接口的所有物理端口在特定设备上发生故障,但在其他设备上的同一逻辑接口下仍有活动端口,则会从群集中删除该设备。如果设备在保持时间内没有收到接口状态消息,则 ASA 从群集中删除成员之前所经过的时间取决于接口类型以及设备是已建立的成员还是正在加入群集。默认情况下,为所有接口启用运行状况检查。

您可能想禁用不重要的接口(例如管理接口)的运行状况检查。您可以指定任何端口通道 ID 或单一物理接口 ID。运行状况监控不在 VLAN 子接口或虚拟接口(例如,VNI 或 BVI)上执行。您不能为群集控制链路配置监控;它始终处于被监控状态。

当拓扑发生任何更改时(例如添加或删除数据接口、启用或禁用 ASA、Firepower 4100/9300 机箱或交换机上的接口、或者添加额外的交换机形成 VSS 或 vPC),您应禁用运行状态检查功能 (Configuration > Device Management > High Availability and Scalability > ASA Cluster),还要禁用对已禁用接口的接口监控。当拓扑结构更改完成且配置更改已同步到所有设备后,您可以重新启用运行状况检查功能。

步骤 3

点击自动重新加入选项卡,以自定义在接口、系统或群集控制链路发生故障时的自动重新加入设置。对于每种类型,点击 Edit 以设置以下选项:

  • Maximum Rejoin Attempts - 通过设置 Unlimited 或介于 0 到 65535 的值,定义重新加入群集的尝试次数。0 将禁用自动重新加入。对于群集接口,默认值为无限制;对于数据接口和系统,默认值为 3

  • Rejoin Interval - 通过设置介于 2 到 60 秒的间隔,定义两次重新加入尝试之间的间隔持续时间(以分钟为单位)。默认值为 5 分钟。设备尝试重新加入群集的最大总时间限制为自上次失败之时起 14400 分钟(10 天)。

  • Interval Variation - 通过设置介于 1 到 3 的间隔变化,定义间隔持续时间是否延长:1(不变);2(上次持续时间的 2 倍),或 3(上次持续时间的 3 倍)。例如,如果您将间隔持续时间设置为 5 分钟,并将变化设置为 2,则在 5 分钟后进行第 1 次尝试;在 10 分钟 (2 x 5) 后进行第 2 次尝试;在 20 分钟 (2 x 10) 后进行第 3 次尝试。对于群集接口,默认值为 1;对于数据接口和系统,默认值为 2

点击 Restore Defaults 以恢复默认设置。

步骤 4

单击 Apply


配置群集 TCP 复制延迟

为 TCP 连接启用群集复制延迟有助于延迟创建导向器/备份数据流,从而消除与短期数据流相关的“不必要工作”。请注意,如果某个设备在创建导向器/备份数据流前出现故障,则无法恢复这些数据流。同样,如果流量在创建数据流前再均衡到其他设备,则无法恢复该数据流。不应对已被禁用 TCP 随机化的流量启用 TCP 复制延迟。

过程

步骤 1

依次选择 Configuration > Device Management > High Availability and Scalability > ASA Cluster Replication

步骤 2

点击 Add 并设置以下值:

  • Replication delay - 设置秒数,范围介于 1 到 15 之间。

  • HTTP - 设置所有 HTTP 流量的延迟。此设置默认已启用,默认值为 5 秒。

  • 源条件

    • Source - 设置源 IP 地址。

    • Service -(可选)设置源端口。通常是设置源端口或目标端口,而不会同时设置两者。

  • 目标条件

    • Source - 设置目标 IP 地址。

    • Service -(可选)设置目标端口。通常是设置源端口或目标端口,而不会同时设置两者。

步骤 3

单击 OK

步骤 4

单击 Apply


配置站点间功能

对于站点间群集,您可以自定义配置,以提高冗余性和稳定性。

配置群集流移动性

当服务器在站点之间移动时,您可以检查 LISP 流量以启用流移动性。

关于 LISP 检测

可以检查 LISP 流量,以便在站点间启用流移动性。

关于 LISP

利用数据中心的虚拟机移动性(例如,VMware VMotion),服务器可以在数据中心之间迁移,同时维持与客户端的连接。为了支持此类数据中心服务器移动性,路由器需要能够在服务器移动时更新通往服务器的入口路由。思科定位/ID 分离协议 (LISP) 架构将设备身份或终端标识符 (EID) 与设备位置或路由定位符 (RLOC) 分离开,并分隔到两个不同的编号空间,实现服务器迁移对客户端的透明化。例如,当服务器迁移到新的站点并且客户端向服务器发送流量时,路由器会将流量重定向到新位置。

LISP 需要充当特定角色的路由器和服务器,例如 LISP 出口隧道路由器 (ETR)、入口隧道路由器 (ITR)、第一跳路由器、映射解析器 (MR) 和映射服务器 (MS)。当服务器的第一跳路由器检测到服务器连接了其他路由器时,它会更新所有其他路由器和数据库,以便连接到客户端的 ITR 可以拦截、封装流量并将流量发送到新的服务器位置。

ASA LISP 支持

ASA 本身不运行 LISP;但是,它可以通过检查 LISP 流量确定位置更改,然后使用此信息进行无缝群集操作。如果不使用 LISP 集成,当服务器移动到新站点时,流量将到达位于新站点的 ASA 群集成员,而不是原始的流所有者。新 ASA 将流量转发到旧站点的 ASA,然后旧 ASA 必须将流量发回新站点,才能到达服务器。此类流量流并未处于最佳状态,称为“长号”或“发夹”。

如果使用 LISP 集成,ASA 群集成员可以检查第一跳路由器与 ETR 或 ITR 之间的 LISP 流量,然后将流所有者位置更改为新站点。

LISP 准则
  • ASA 群集成员必须位于第一跳路由器和该站点的 ITR 或 ETR 之间。ASA 群集本身不能作为扩展网段的第一跳路由器。

  • 仅支持全分布数据流;集中数据流、半分布数据流或属于单个设备的数据流不会移动到新的所有者。半分布数据流包括应用(例如 SIP),其中作为父数据流所有者的同一 ASA 拥有所有子数据流。

  • 群集仅移动第 3 和第 4 层流状态;一些应用数据可能丢失。

  • 对于持续时间极短的数据流或非关键业务数据流,移动所有者可能并非最佳选择。在配置检查策略时,您可以控制该功能支持的流量类型,并应只对必要流量限制流移动性。

ASA LISP 实施

此功能包含多种相互关联的配置(本章将逐一说明):

  1. (可选)基于主机或服务器 IP 地址限制检查的 EID - 第一跳路由器可能会向与 ASA 群集无关的主机或网络发送 EID 通知消息,因此,您可以限制只向与您的群集有关的服务器或网络发送 EID。例如,如果群集仅涉及 2 个站点,但是 LISP 在 3 个站点上运行,应只包括群集涉及的 2 个站点的 EID。

  2. LISP 流量检查 - ASA 检查 UDP 端口 4342 上的 LISP 流量是否包含第一跳路由器与 ITR 或 ETR 之间发送的 EID 通知消息。ASA 维护着一个将 EID 和站点 ID 相关联的 EID 表。例如,您应检查包含第一跳路由器源 IP 地址以及 ITR 或 ETR 目标地址的 LISP 流量。请注意,没有为 LISP 流量分配导向器,并且 LISP 流量本身不参与群集状态共享。

  3. 用于启用指定流量的流移动性的服务策略 - 您应对关键业务流量启用流移动性。例如,您可以只对 HTTPS 流量和/或发送到特定服务器的流量启用流移动性。

  4. 站点 ID - ASA 使用群集中每个设备的站点 ID 确定新的所有者。

  5. 用于启用流移动性的群集级别配置 - 您还必须在群集级别启用流移动性。此开/关切换器允许您轻松地启用或禁用特定流量类或应用类的流移动性。

配置 LISP 检测

当服务器在站点之间移动时,您可以检查 LISP 流量以启用流移动性。

开始之前
  • Firepower 4100/9300 机箱管理引擎上设置机箱的站点 ID。

  • LISP 流量未包含在 default-inspection-traffic 类中,因此,您在此过程中必须为 LISP 流量配置单独的类。

过程

步骤 1

(可选) 配置 LISP 检测映射以根据 IP 地址限制检测的 EID,并配置 LISP 预共享密钥:

  1. 依次选择配置 > 防火墙 > 对象 > 检测映射 > LISP

  2. 点击 Add 添加新映射。

  3. 输入名称(最多 40 个字符)和描述。

  4. 对于 Allowed-EID access-list,点击 Manage

    系统将打开 ACL Manager

    第一跳路由器或 ITR/ETR 可能会向与 ASA 群集无关的主机或网络发送 EID 通知消息,因此,您可以限制只向与您的群集有关的服务器或网络发送 EID。例如,如果群集仅涉及 2 个站点,但是 LISP 在 3 个站点上运行,应只包括群集涉及的 2 个站点的 EID。

  5. 根据防火墙配置指南添加具有至少一个 ACE 的 ACL。

  6. 如果需要,请输入 Validation Key

    如果复制了一个加密密钥,请点击 Encrypted 单选按钮。

  7. 点击确定

步骤 2

添加服务策略规则以配置 LISP 检测:

  1. 依次选择配置 > 防火墙 > 服务策略规则

  2. 点击添加

  3. Service Policy 页面上,将规则应用到接口或全局应用。

    如果您有要使用的现有服务策略,请为该策略添加规则。默认情况下,ASA 包含称为 global_policy 的全局策略。如果您希望全局应用该策略,还可以为每个接口创建一个服务策略。LISP 检测会双向应用于流量,因此您无需在源接口和目标接口上应用服务策略;如果流量与两个方向的类都匹配,则进入或退出您应用规则的接口的所有流量都受影响。

  4. Traffic Classification Criteria 页面上,点击 Create a new traffic class,然后在 Traffic Match Criteria 下选中 Source and Destination IP Address (uses ACL)

  5. 点击 Next

  6. 指定要检测的流量。您应在 UDP 端口 4342 上指定第一跳路由器与 ITR 或 ETR 之间的流量。接受 IPv4 和 IPv6 ACL。

  7. 点击 Next

  8. Rule Actions 向导页面或选项卡上,选择 Protocol Inspection 选项卡。

  9. 选中 LISP 复选框。

  10. (可选)点击 Configure 以选择创建的检测映射。

  11. 点击 Finish 以保存服务策略规则。

步骤 3

添加一条服务策略规则,为重要流量启用流移动性:

  1. 依次选择配置 > 防火墙 > 服务策略规则

  2. 点击添加

  3. Service Policy 页面上,选择用于 LISP 检测的同一服务策略。

  4. Traffic Classification Criteria 页面上,点击 Create a new traffic class,然后在 Traffic Match Criteria 下选中 Source and Destination IP Address (uses ACL)

  5. 点击 Next

  6. 指定在服务器更改站点时,要重新分配至最佳站点的业务关键流量。例如,您可以只对 HTTPS 流量和/或发送到特定服务器的流量启用流移动性。接受 IPv4 和 IPv6 ACL。

  7. 点击 Next

  8. Rule Actions 向导页面或选项卡上,选择 Cluster 选项卡。

  9. 选中 Enable Cluster flow-mobility triggered by LISP EID messages 复选框。

  10. 点击 Finish 以保存服务策略规则。

步骤 4

依次选择 Configuration > Device Management > High Availability and Scalability > ASA Cluster > Cluster Configuration,然后选中 Enable Clustering flow mobility 复选框。

步骤 5

点击应用 (Apply)


配置分布式站点间 VPN

默认情况下,ASA 群集使用集中式站点间 VPN 模式。要利用群集的可扩展性,您可以启用分布式站点间 VPN 模式。在此模式下,站点间 IPsec IKEv2 VPN 连接将跨 ASA 群集成员分发。在群集成员之间分发 VPN 连接可实现充分利用群集的容量和吞吐量,从而在集中式 VPN 功能的基础上大幅扩展 VPN 支持。

关于分布式站点间 VPN
分布式 VPN 连接角色

在分布式 VPN 模式下运行时,系统将为群集成员分配以下角色:

  • 主用会话所有者 - 最初接收连接的设备,或将备份会话转换为主用会话的设备。所有者为完整的会话维护状态并处理数据包,包括 IKE 和 IPsec 隧道以及所有与之关联的流量。

  • 备份会话所有者 - 正在处理现有主用会话的备份会话的设备。根据所选的备份策略,这可能是与主用会话所有者处在同一机箱内的设备,也可能是另一个机箱内的设备。如果主用会话所有者发生故障,备份会话所有者将成为主用会话所有者,并在另一个设备上建立新的备份会话。

  • 转发器 - 如果与某个 VPN 会话关联的流量被发送至一个未拥有该 VPN 会话的设备,该设备将使用群集控制链路 (CCL) 将流量转发到拥有该 VPN 会话的成员

  • 协调器 - 协调器(始终是群集的主节点)负责计算将移动哪些会话,在哪里以及何时执行主用会话重新分发 (ASR)。它会向所有者成员 X 发送将 N 个会话移至成员 Y 的请求。成员 X 将在完成操作时向协调器发送回应,指定它已成功移动的会话数量。

分布式 VPN 会话的特征

分布式站点间 VPN 会话具有以下特征。否则,VPN 连接就会像它们不在 ASA 群集上一样执行正常行为。

  • VPN 会话将在会话级别跨群集分布。这意味着同一群集成员将会处理 VPN 连接的 IKE 和 IPsec 隧道及其所有流量。如果 VPN 会话流量被发送至未拥有该 VPN 会话的群集成员,此流量将被转发至拥有该 VPN 会话的群集成员。

  • VPN 会话拥有在整个群集内唯一存在的会话 ID。此会话 ID 将用于验证流量,做出转发决策和完成 IKE 协商。

  • 在站点间 VPN 集线器和辐射配置中,当客户端通过 ASA 群集连接(称为发夹)时,流入的会话流量和流出的会话流量可能在不同的群集成员上。

  • 您可以要求将备份会话分配到另一个机箱内的安全模块上;这样可以防范机箱出现故障。或者,您可以选择在群集内的任意节点上分配备份会话;这样可以防范节点出现故障。当群集中有两个机箱时,强烈建议采用远程机箱备份。

  • 在分布式站点间 VPN 模式下仅支持 IKEv2 IPsec 站点间 VPN,不支持 IKEv1。在集中式 VPN 模式下支持站点间 IKEv1。

  • 每个安全模块支持多达 6K 个 VPN 会话,跨 6 个成员最多支持约 36K 个会话。群集成员上支持的实际会话数量取决于平台容量、分配的许可证以及每情景的资源分配。当利用率接近限制时,即使未达到每个群集设备的最大容量,也可能出现创建会话失败的情况。这是因为主用会话分配取决于外部交换,而备份会话分配则取决于内部群集算法。建议客户相应地调整其利用率,并留出非均匀分布的空间。

群集事件的分布式 VPN 处理
表 2.

事件

分布式 VPN

成员故障

此故障成员上所有主用会话的备份会话(位于另一个成员上)将变为主用状态,并根据备份策略将备份会话重新分配到另一台设备上。

机箱故障

使用远程机箱备份策略时,故障机箱上所有主用会话的备份会话(位于另一机箱中的成员上)将变为主用状态。更换设备时,这些当前处于主用状态的会话的备份会话将被重新分配到更换机箱中的成员上。

使用平面备份策略时,如果主用会话和备份会话都在故障机箱上,则连接将会断开。在另一个机箱的成员上具有备份会话的所有主用会话将会回退到备份会话。新的备份会话将被分配到存活机箱中的另一个成员。

停用群集成员

正在停用的群集成员上的所有主用会话的备份会话(位于另一个成员上)将变为主用状态,并根据备份策略将备份会话重新分配到另一台设备上。

群集成员加入

如果 VPN 群集模式未设置为分布式,主设备将请求模式更改。

如果或一旦进入兼容的 VPN 模式,群集成员将被分配正常操作流中的主用和备份会话。

不受支持的检查

在分布式站点间 VPN 模式下不支持或已禁用以下检测类型:

  • CTIQBE

  • DCERPC

  • H323、H225 和 RAS

  • IPSec 直通

  • MGCP

  • MMP

  • NetBIOS

  • PPTP

  • RADIUS

  • RSH

  • RTSP

  • SCCP(瘦客户端)

  • SUNRPC

  • TFTP

  • WAAS

  • WCCP

  • XDMCP

IPsec IKEv2 修改

在分布式站点间 VPN 模式下,IKEv2 进行了以下方面的修改:

  • 使用身份取代了 IP/端口元组。这将允许对数据包做出正确的转发决策,以及清理可能位于其他群集成员上的先前连接。

  • 标识单个 IKEv2 会话的 (SPI) 标识符是在本地生成的 8 字节随机值,并且在整个群集中是唯一的。SPI 嵌入了时间戳和群集成员 ID。在收到 IKE 协商数据包时,如果时间戳或群集成员 ID 检查失败,则会丢弃数据包并记录一条指示原因的消息。

  • IKEv2 处理已修改为通过划分群集成员来预防 NAT-T 协商失败。在接口上启用 IKEv2 后,将添加新的 ASP 分类域 cluster_isakmp_redirect 和规则。

型号支持

分布式 VPN 唯一支持的设备是 Firepower 9300。分布式 VPN 在最多 2 个机箱上最多支持 6 个模块。您可以在每个机箱中安装不同数量的安全模块,但我们建议均匀分布。

不支持站点间群集。

防火墙模式

仅在路由模式下支持分布式站点间 VPN。

情景模式

分布式站点间 VPN 可在单情景和多情景模式下运行。但在多情景模式下,主用会话重新分发将在系统级别,而不是情景级别进行。这可以防止与情景关联的主用会话移动到包含与其他情景关联的主用会话的群集成员上,从而在不知情的情况下产生无法支持的负载。

高可用性

以下功能针对安全模块或机箱的单一故障提供恢复能力:

  • 在群集中任意机箱上的另一个安全模块中备份的 VPN 会话能承受安全模块故障。

  • 在另一个机箱上备份的 VPN 会话能承受机箱故障。

  • 可以更改群集主设备而不丢失 VPN 站点间会话。

如果在群集稳定之前发生其他故障,并且主动和备份会话都在故障设备上,那么连接可能会丢失。

当某个成员以正常方式(例如禁用 VPN 群集模式、重新加载群集成员和其他预期的机箱更改)离开群集时,将做出所有尝试以确保不会丢失任何会话。在这些类型的操作期间,只要为群集提供时间在操作之间重新建立会话备份,会话就不会丢失。如果在最后一个群集成员上触发正常退出,它将正常结束现有会话。

动态 PAT

在分布式 VPN 模式下不可用。

CMPv2

系统将跨所有群集成员同步 CMPv2 ID 证书和密钥对。但只有群集中的主设备会自动续约 CMPv2 证书并重新生成密钥。主设备会在续约时将这些新的 ID 证书和密钥同步至所有群集成员。通过这种方式,群集中的所有成员都能使用 CMPv2 证书进行身份验证,而且任何成员都能接管成为主设备。

启用分布式站点间 VPN

启用分布式站点间 VPN,以充分利用 VPN 会话群集的可扩展性优势。



在集中式和分布式之间切换 VPN 模式会导致所有现有会话终止。更改备份模式是动态的,将不会终止会话。


开始之前
  • 必须在所有群集成员上配置一个运营商许可证。

  • 必须设置您的站点间 VPN 配置。

过程

步骤 1

依次选择 Configuration > Device Management > High Availability and Scalability > ASA Cluster

步骤 2

VPN 集群模式区域中,选择群集的 VPN 模式集中式分布式

步骤 3

选择备份分发模式平面远程机箱

在平面备份模式下,备用会话建立在任何其他群集成员上。这将保护用户免受刀片故障的影响,但不能保证提供机箱故障保护。

在远程机箱备份模式下,备用会话建立在群集内另一个机箱的成员上。这将同时保护用户免受刀片故障和机箱故障的影响。

如果是在单机箱环境中配置远程机箱(特意配置或因故障所致),则在另一个机箱加入之前,将不会创建任何备份。


重新分发分布式站点间 VPN 会话

主用会话重新分发 (ASR) 将在所有群集成员之间重新分发主用 VPN 会话负载。由于开始会话和结束会话的动态性质,ASR 是跨所有群集成员均衡会话的最佳做法。重复进行重新分发操作将会优化均衡。

重新分发可以在任何时间运行,应该在群集中发生任何拓扑更改后运行,并且建议在新成员加入群集后运行。重新分发的目标是创建稳定的 VPN 群集。稳定的 VPN 群集的节点之间具有几乎相等数量的主用和备份会话。

要移动某个会话,备份会话将变为主用会话,并选择另一个节点托管新的备份会话。移动会话依赖于主用会话的备份位置和该特定备份节点上已有的主用会话数量。如果备份会话节点由于某种原因不能托管主用会话,则原始节点继续作为该会话的所有者。

在多情景模式下,主用会话重新分发将在系统级别,而不是个别情景级别进行。不在情景级别执行重新分发是因为,一个情景中的主用会话可能被移动某个成员,而该成员包含另一个情景中的其他许多主用会话,从而在该群集成员上创建了更多负载。

开始之前
  • 如果您想要监控重新分发活动,请启用系统日志。

  • 此程序必须在群集的主节点上执行。

过程

步骤 1

选择监控 > ASA 集群 > ASA 集群 > 集群摘要 > VPN 集群摘要,以查看主用和备份会话在群集中的分布情况。

根据需要重新分发的会话数和群集上的负载,这可能需要一些时间。重新分发活动发生时,系统会提供包含以下短语的系统日志(此处未显示其他系统详细信息):

系统日志短语 说明
已启动 VPN 会话重新分发 仅主设备

已发送请求,将 number 个会话从 orig-member-name 移到 dest-member-name

仅主设备
未能将会话重新分发消息发送至 member-name 仅主设备
已收到请求,将 number 个会话从 orig-member-name 移到 dest-member-name 仅从属设备
已将 number 个会话移到 member-name 已移至指定群集的活动会话数。
未能收到 dest-member-name 的会话移动响应 仅主设备
已完成 VPN 会话 仅主设备
检测到群集拓扑更改。已终止 VPN 会话重新分发。
步骤 2

点击重新分发

步骤 3

刷新监控 > ASA 群集 > ASA 群集 > 群集摘要 > VPN 群集摘要,以查看重新分发活动的结果。

如果您重新分发成功,并且已没有重大系统或会话活动,您的系统将实现均衡,并完成此操作。

否则,请重复重新分发过程以获得均衡、稳定的系统。


FXOS:删除群集成员

以下部分介绍如何临时或永久删除群集中的成员。

临时删除

例如,出现硬件或网络故障时,群集成员会自动从群集中删除。此删除是临时的,故障消除后,它们可以重新加入群集。您也可以手动禁用群集。

要检查设备当前是否在群集中,登录 Firepower 机箱管理器逻辑设备页面查看群集状态:

  • 在应用程序中禁用群集 - 您可以使用应用程序 CLI 禁用群集。输入 cluster remove unit name 命令删除除您登录的设备以外的所有设备。引导程序配置保持不变,从主设备同步的最新配置也保持不变,因此您可于稍后重新添加该设备而不会丢失配置。如果在从属设备上输入此命令来删除主设备,将会选举新的主设备。

    当设备处于非主用状态时,所有数据接口关闭;只有管理接口可以发送和接收流量。要恢复流量流,请重新启用群集。管理接口将保持打开,使用设备从引导程序配置接收的 IP 地址。但如果您重新加载,而设备仍在群集中处于非主用状态(例如,如果您保存了已禁用群集的配置),则管理接口将被禁用。

    要重新启用群集,请在 ASA 上输入 cluster group name ,然后enable

  • 禁用应用程序实例 - 在 Firepower 机箱管理器的逻辑设备页面,单击 禁用滑块(已启用滑块。您可以稍后使用 启用滑块(已禁用滑块 重新启用它。

  • 关闭 安全模块/引擎 - 在 Firepower 机箱管理器的安全模块/引擎页面,单击 关闭电源图标(关闭电源图标

  • 关闭机箱 - 在 Firepower 机箱管理器的概览页面,单击 关闭图标(关闭图标

永久删除

您可以使用以下方法永久删除群集成员。

  • 删除逻辑设备 - 在 Firepower 机箱管理器的逻辑设备页面,单击删除图标(删除图标。然后,您可以部署独立的逻辑设备、新的群集,还可以在同一群集中添加新的逻辑设备。

  • 从服务中删除机箱或安全模块 - 如果从服务中删除设备,则可以将替换硬件添加为群集的新成员。

ASA:管理群集成员

部署群集后,您可以更改配置和管理群集成员。

变成非活动成员

要成为群集的非活动成员,请在设备上禁用群集,同时保持群集配置不变。



当 ASA 处于非活动状态(以手动方式或因运行状况检查失败)时,所有数据接口都将关闭;只有管理专用接口可以发送和接收流量。要恢复流量传输,请重新启用群集;或者,您也可以从群集中完全删除该设备。管理接口将保持打开,使用设备从群集 IP 池接收的 IP 地址。但如果您重新加载,而设备仍在群集中处于非主用状态(例如,您保存了已禁用群集的配置),则管理接口将被禁用。您必须使用控制台端口来进行任何进一步配置。


开始之前

  • 对于多情景模式,请在系统执行空间中执行本程序。如果尚未进入系统配置模式,然后在“配置 > 设备列表”窗格中,双击主用设备 IP 地址下的系统

过程


步骤 1

依次选择配置 > 设备管理 > 高可用性和可扩展性 > ASA 集群 > 集群配置

步骤 2

取消选中 Participate in ASA cluster 复选框。

 

请勿取消选中 Configure ASA cluster settings 复选框,此操作会清除所有群集配置并关闭所有接口,包括 ASDM 连接到的管理接口。在此情况下,要恢复连接,您需要在控制台端口上访问 CLI。

步骤 3

单击 Apply


从主设备停用从属设备成员

要停用从属成员,请执行以下步骤。



当 ASA 处于非活动状态时,所有数据接口关闭;只有管理专用接口可以发送和接收流量。要恢复流量流,请重新启用群集。管理接口将保持打开,使用设备从群集 IP 池接收的 IP 地址。但如果您重新加载,而设备仍在群集中处于非主用状态(例如,如果您保存了已禁用群集的配置),则管理接口将被禁用。您必须使用控制台端口来进行任何进一步配置。


开始之前

对于多情景模式,请在系统执行空间中执行本程序。如果尚未进入系统配置模式,然后在 Configuration > Device List 窗格中,双击主用设备 IP 地址下的 System

过程


步骤 1

依次选择配置 > 设备管理 > 高可用性和可扩展性 > ASA 集群

步骤 2

选择要删除的从属设备,然后点击 Delete

从属设备的引导程序配置保持不变,因此您可于稍后重新添加该从属设备而不会丢失配置。

步骤 3

单击 Apply


重新加入群集

如果从群集中删除了某个设备(例如针对出现故障的接口),或者如果您手动停用了某个成员,那么您必须手动重新加入群集。

开始之前

  • 您必须使用控制台端口来重新启用群集。其他接口已关闭。例外情况是,如果您在 ASDM 中手动禁用了群集,并且没有保存配置和重新加载,那么您可以在 ASDM 中重新启用群集。重新加载后,将会禁用管理界面,因此控制台访问是重新启用群集的唯一方法。

  • 对于多情景模式,请在系统执行空间中执行本程序。如果尚未进入系统配置模式,然后在 Configuration > Device List 窗格中,双击主用设备 IP 地址下的 System

  • 确保故障已解决,再尝试重新加入群集。

过程


步骤 1

如果仍有 ASDM 访问,您可以通过将 ASDM 连接到想要重新启用群集的设备,在 ASDM 中重新启用群集。

您不能从主设备为从属设备重新启用群集,除非将该从属设备添加为新成员。

  1. 依次选择配置 > 设备管理 > 高可用性和可扩展性 > ASA 集群

  2. 选中加入 ASA 集群复选框。

  3. 点击 Apply

步骤 2

如果您不能使用 ASDM:在控制台中,进入群集配置模式:

cluster group name

示例:


ciscoasa(config)# cluster group pod1

步骤 3

启用群集。

enable


更改主设备


小心

要更改主设备,最好的方法是在主设备上禁用群集,等到新的主设备选举后再重新启用群集。如果必须指定要成为主设备的具体设备,请使用本节中的程序。但是请注意,对集中功能而言,如果使用本程序强制更改主设备,则所有连接都将断开,而您必须在新的主设备上重新建立连接。


要更改用主设备,请执行以下步骤。

开始之前

对于多情景模式,请在系统执行空间中执行本程序。如果尚未进入系统配置模式,在“配置 > 设备列表”窗格中,双击主用设备 IP 地址下的系统

过程


步骤 1

依次选择 Monitoring > ASA Cluster > Cluster Summary

步骤 2

Change Master To 下拉列表中,选择要成为主设备的从属设备,然后点击 Make Master

步骤 3

系统将提示您确认主设备更改。点击 Yes

步骤 4

退出 ASDM,然后使用主群集 IP 地址重新连接。


在群集范围内执行命令

要向群集中的所有成员或某个特定成员发送命令,请执行以下步骤。向所有成员发送 show 命令以收集所有输出并将其显示在当前设备的控制台上。(请注意,可能存在您可以在主设备上输入的显示命令,以查看群集范围内的统计信息。)也可在整个群集范围内执行其他命令(如 capture copy )。

开始之前

在命令行界面工具中执行此程序:依次选择 Tools > Command Line Interface

过程


向所有成员发送命令,或者指定设备名称向某个特定成员发送命令:

cluster exec [unit unit_name] command

示例:


cluster exec show xlate

要查看成员名称,请输入 cluster exec unit ? (查看除当前设备以外的所有名称),或输入 show cluster info 命令。


示例

要同时将同一捕获文件从群集中的所有设备复制到 TFTP 服务器,请在主设备上输入以下命令:


cluster exec copy /pcap capture: tftp://10.1.1.56/capture1.pcap

多个 PCAP 文件(一个文件来自一个设备)将复制到 TFTP 服务器。目标捕获文件名会自动附加设备名称,例如 capture1_asa1.pcap、capture1_asa2.pcap 等。在本示例中,asa1 和 asa2 是群集设备名称。

以下是 cluster exec show memory 命令的输出示例,显示了群集内每个成员的内存信息:


cluster exec show memory
unit-1-1(LOCAL):******************************************************
Free memory:      108724634538 bytes (92%)
Used memory:        9410087158 bytes ( 8%)
-------------     ------------------
Total memory:     118111600640 bytes (100%)


unit-1-3:*************************************************************
Free memory:      108749922170 bytes (92%)
Used memory:        9371097334 bytes ( 8%)
-------------     ------------------
Total memory:     118111600640 bytes (100%)


unit-1-2:*************************************************************
Free memory:      108426753537 bytes (92%)
Used memory:        9697869087 bytes ( 8%)
-------------     ------------------
Total memory:     118111600640 bytes (100%)

ASA:监控 Firepower 4100/9300 机箱上的 ASA 群集

您可以监控群集状态和连接并排除故障。

监控群集状态

请参阅以下用于监控群集状态的屏幕

  • Monitoring > ASA Cluster > Cluster Summary

    此窗格显示有关要连接的设备以及群集中其他设备的群集信息。您还可以在此窗格中更改主设备。

  • 集群控制面板

    在主设备的主页上,您可以使用群集控制面板和群集防火墙控制面板监控群集。

在集群范围捕获数据包

有关在群集中捕获数据包的信息,请参阅以下屏幕

Wizards > Packet Capture Wizard

要支持群集范围的故障排除,您可以在主设备上启用捕获群集特定流量的功能,随后群集中的所有从属设备上将自动启用此功能。

监控群集资源

请参阅以下屏幕以监控群集资源:

  • Monitoring > ASA Cluster > System Resources Graphs > CPU

    此窗格可用于创建显示所有群集成员 CPU 使用率的图或表。

  • Monitoring > ASA Cluster > System Resources Graphs > Memory

    此窗格可用于创建显示所有群集成员可用内存和已用内存的图或表。

监控群集流量

请参阅以下屏幕以监控群集流量:

  • 监控 > ASA 集群 > 流量图 > 连接

    此窗格可用于创建显示所有群集成员连接的图或表。

  • Monitoring > ASA Cluster > Traffic Graphs > Throughput

    此窗格可用于创建显示所有群集成员流量吞吐量的图或表。

  • 监控 > ASA 群集 > 群集负载监控

    本部分介绍负载监控信息加载监控详细信息窗格。负载监控信息显示最后一个间隔的群集成员的流量负载,以及已配置的总间隔数(默认情况下为 30)。使用负载监控详细信息窗格查看每个时间间隔的每个度量值。

监控群集控制链路

有关监控群集状态的信息,请参阅以下屏幕:

Monitoring > Properties > System Resources Graphs > Cluster Control Link

此窗格可用于创建显示群集控制链路接收和传送容量使用率的图或表。

监控群集路由

有关群集路由的信息,请参阅以下屏幕

  • 监控 > 路由 > LISP-EID 表

    显示 ASA EID 表,表中显示了 EID 和站点 ID。

监控分布式站点间 VPN

请参阅以下用于监控 VPN 群集状态的屏幕:

  • 监控 > ASA 集群 > ASA 集群 > 集群摘要 > VPN 集群摘要

    显示会话跨整个群集的分布情况,并允许您重新分发会话。

  • 监控 > VPN > VPN 统计信息 > 会话

    系统会同时列出主群集成员和从属群集成员。单击任何成员可获取详细信息。

配置群集日志记录

有关为群集配置日志记录的信息,请参阅以下屏幕

Configuration > Device Management > Logging > Syslog Setup

群集中的每台设备将独立生成系统日志消息。您可以生成具有相同或不同设备 ID 的系统日志消息,使消息看似来自群集中的相同或不同设备。

分布式站点间 VPN 故障排除

分布式 VPN 通知

当运行分布式 VPN 的群集上发生以下错误情况时,您将收到包含确定短语的通知消息:

情况

通知

如果在尝试加入群集时,某个现有或正在加入群集的从属设备未处在分布式 VPN 模式下:

新群集成员 (member-name) 由于 vpn 模式不匹配而被拒绝。

主设备 (master-name) 拒绝了设备 (unit-name) 的注册请求,原因:vpn 模式功能与主配置不兼容

如果分布式 VPN 的群集成员上未正确地配置许可:

错误:主机请求群集的 VPN 模式更改为分布式。由于缺少运营商许可证,无法更改模式。

如果接收的 IKEv2 数据包的 SPI 中的时间戳或成员 ID 无效:

收到已到期的 SPI

检测到损坏的 SPI

如果群集无法创建备份会话:

未能创建 IKEv2 会话的备份。

IKEv2 初始联系 (IC) 处理错误:

IKEv2 协商因错误而终止:备份上找到过时的备份会话

重新分发问题:

未能将会话重新分发消息发送至 member-name

未能收到 member-name(仅主设备)的会话移动响应

如果在重新分发会话期间拓扑发生更改:

检测到群集拓扑更改。已终止 VPN 会话重新分发。

您可能遇到以下情况之一:

  • 当使用 port-channel load-balance src-dst l4port命令 为 N7K 交换机配置 L4port 作为负载均衡算法时,L2L VPN 会话仅被分发到群集中的一个机箱。. 群集会话分配的示例如下所示:

    
    SSP-Cluster/slave(cfg-cluster)# show cluster vpn-sessiondb distribution
    Member 0 (unit-1-3): active: 0
    Member 1 (unit-2-2): active: 13295; backups at: 0(2536), 2(2769), 3(2495), 4(2835), 5(2660)
    Member 2 (unit-2-3): active: 12174; backups at: 0(2074), 1(2687), 3(2207), 4(3084), 5(2122)
    Member 3 (unit-2-1): active: 13416; backups at: 0(2419), 1(3013), 2(2712), 4(2771), 5(2501)
    Member 4 (unit-1-1): active: 0
    Member 5 (unit-1-2): active: 0

    由于 L2L IKEv2 VPN 使用端口 500 作为源和目标端口,因此 IKE 数据包仅发送至 N7K 与机箱之间连接的端口通道中的其中一个链路。

    使用 port-channel load-balance src-dst ip-l4port 将 N7K 负载均衡算法更改为 IP 和 L4 端口。然后,IKE 数据包将被发送至所有链路,进而发送至两个 Firepower9300 机箱。

    要进行更即时的调整,请在 ASA 群集的主设备上执行:cluster redistribute vpn-sessiondb ,将主用 VPN 会话重新分发至另一机箱的群集成员。

群集参考

本部分包括有关群集工作原理的详细信息。

ASA 功能和群集

部分 ASA 功能不受 ASA 群集支持,还有部分功能仅在主设备上受支持。其他功能可能对如何正确使用规定了注意事项。

群集不支持的功能

以下功能在启用群集的情况下无法配置,相关命令会被拒绝。

  • 依靠 TLS 代理实现的统一通信功能

  • 远程接入 VPN(SSL VPN 和 IPsec VPN)

  • IS-IS 路由

  • 以下应用检查:

    • CTIQBE

    • H323、H225 和 RAS

    • IPsec 穿透

    • MGCP

    • MMP

    • RTSP

    • SCCP(瘦客户端)

    • WAAS

    • WCCP

  • 僵尸网络流量过滤器

  • 自动更新服务器

  • DHCP 客户端、服务器和代理。支持 DHCP 中继。

  • VPN 负载均衡

  • 故障切换

  • 集成路由和桥接

  • 失效连接检测 (DCD)

群集集中化功能

以下功能只有在主设备上才受支持,且无法为群集扩展。



集中功能的流量从成员设备通过群集控制链路转发到主设备。

如果使用再均衡功能,则会先将集中功能的流量再均衡到非主设备的设备,然后再将该流量归类为集中功能;如果发生此情况,该流量随后将被发送回主设备。

对集中功能而言,如果主设备发生故障,则所有连接都将断开,而您必须在新的主设备上重新建立连接。


  • 以下应用检查:

    • DCERPC

    • NetBIOS

    • PPTP

    • RADIUS

    • RSH

    • SUNRPC

    • TFTP

    • XDMCP

  • 动态路由

  • 静态路由监控

  • IGMP 组播控制平面协议的处理(数据平面转发分布于整个群集中)

  • PIM 组播控制平面协议的处理(数据平面转发分布于整个群集中)

  • 网络访问的身份验证和授权。记帐被分散。

  • 筛选服务

  • 站点到站点 IKEv1/IKEv2 VPN

    在集中式模式下,仅与群集的主设备建立 VPN 连接。这是 VPN 群集的默认模式。站点到站点的 VPN 也可以部署在分布式 VPN 模式,其中 S2S IKEv2 VPN 连接分布在成员之间。

应用到单台设备的功能

这些功能将应用到每台 ASA 设备而非整个群集或主设备。

  • QoS - QoS 策略将于配置复制过程中在群集中同步。但是,该策略是在每台设备上独立执行。例如,如果对输出配置管制,则要对流出特定 ASA 的流量应用符合规则的速率和符合规则的突发量值。在包含 3 台设备且流量均衡分布的群集中,符合规则的速率实际上变成了群集速率的 3 倍。

  • 威胁检测 - 威胁检测在各台设备上独立工作;例如,排名统计信息就要视具体设备而定。以端口扫描检测为例,由于扫描的流量将在所有设备间进行负载均衡,而一台设备无法看到所有流量,因此端口扫描检测无法工作。

  • 资源管理 - 多情景模式下的资源管理根据本地使用情况在每台设备上分别执行。

  • LISP 流量 - UDP 端口 4342 上的 LISP 流量由每台接收设备进行检查,但是没有为其分配导向器。每台设备都会添加到群集共享的 EID 表,但是 LISP 流量本身并不参与群集状态共享。

用于网络访问的 AAA 和群集

用于网络访问的 AAA 由三部分组成:身份验证、授权和记账。身份验证和授权作为集中功能在群集主设备上实施,且数据结构被复制到群集从属设备。如果选举出主设备,新的主设备将获得所需的全部信息,让通过身份验证的既定用户及其关联的授权能够继续操作而不中断。发生主设备更改时,用户身份验证的空闲超时和绝对超时会被保留。

记账作为分散的功能在群集中实施。记账按每次流量完成,因此在为流量配置记账时,作为流量所有者的群集设备会将记账开始和停止消息发送到 AAA 服务器。

FTP 和群集

  • 如果 FTP 数据通道和控制通道流量由不同的群集成员所有,则数据通道所有者会将空闲超时更新定期发送到控制通道所有者并更新空闲超时值。但是,如果重新加载控制流量所有者并重新托管控制流量,则不会再保持父/子流量关系;控制流量空闲超时不会更新。

  • 如果将 AAA 用于 FTP 访问,则控制通道流量将集中在主设备上。

身份防火墙和群集

仅主设备从 AD 检索用户组,并从 AD 代理检索用户 IP 映射。然后,主设备将向从属设备提供用户信息,从属设备可根据安全策略为用户身份作出匹配决策。

组播路由和群集

在建立快速路径转发之前,主设备会处理所有的组播路由数据包和数据数据包。在连接建立之后,每台从属设备都可以转发组播数据包。

NAT 和群集

NAT 可能会影响群集的总吞吐量。入站和出站 NAT 数据包可被发送到群集中不同的 ASA,因为负载均衡算法取决于 IP 地址和端口,NAT 会导致入站和出站数据包具有不同的 IP 地址和/或端口。当数据包到达并非 NAT 所有者的 ASA 时,会通过群集控制链路转发到所有者,导致群集控制链路上存在大量流量。请注意,接收设备不会创建流向所有者的转发流量,因为 NAT 所有者最终可能不会根据安全和策略检查结果为数据包创建连接。

如果您仍想在群集中使用 NAT,请考虑以下准则:

  • 无 PAT 采用端口块分配 - 群集不支持该功能。

  • PAT 采用端口块分配 - 请参阅该功能的以下准则:

    • 每主机最大流量限制并不针对整个群集,而是单独应用于每台设备。因此,在每主机最大流量限制配置为 1 的包含 3 个节点的群集中,如果在全部 3 台设备上对来自主机的流量实行负载均衡,则可以分配 3 个端口块,每台设备 1 个。

    • 在执行每主机最大流量限制时,在备份池中的备份设备上创建的端口块不计算在内。

    • 如果 PAT IP 地址所有者发生故障,备用设备将成为 PAT IP 地址、对应的端口块和转换项的所有者。但是,它不会使用这些块为新请求提供服务。当连接最终超时时,块被释放。

    • 如果进行即时 PAT 规则修改(对 PAT 池改用全新的 IP 地址范围),会导致在新的池生效时仍在传输的转换项备份请求的转换项备份创建失败。此行为并非端口块分配功能所特有,它是一个暂时性 PAT 池问题,只发现于在群集设备之间分配池并执行流量负载均衡的群集部署。

  • 对动态 PAT 使用 NAT 池地址分配 - 主设备在整个群集中预先平均分配地址。如果成员收到连接却没有剩余的地址,则即使其他成员仍有可用地址,该连接仍会断开。因此,请确保至少包含与群集中的设备数量相同的 NAT 地址,务必让每台设备都收到一个地址。使用 show nat pool cluster 命令查看地址分配。

  • 不使用轮询 - 群集不支持 PAT 池轮询。

  • 主设备管理的动态 NAT 转换项 - 主设备负责维护转换表并将其复制到从属设备。当从属设备收到需要动态 NAT 的连接而转换项不在表中时,将向主设备请求该转换项。从属设备是该连接的所有者。

  • 每会话 PAT 功能 - 每会话 PAT 功能并非群集专用功能,但它能提高 PAT 的可扩展性,而且对群集而言,它允许每台从属设备成为 PAT 连接的所有者;相比之下,多会话 PAT 连接则必须转发到主设备并由主设备所有。默认情况下,所有 TCP 流量和 UDP DNS 流量均使用每会话 PAT 转换,而 ICMP 和所有其他 UDP 流量均使用多会话。您可以为 TCP 和 UDP 配置每会话 NAT 规则以更改这些默认设置,但是,您不能为 ICMP 配置每会话 PAT。对于使用多会话 PAT 的流量(例如 H.323、SIP 或 Skinny),您可以禁用关联 TCP 端口的每会话 PAT(这些 H.323 和 SIP 的 UDP 端口已默认为多会话)。有关每会话 PAT 的详细信息,请参阅防火墙配置指南。

  • 对以下检查不使用静态 PAT:

    • FTP

    • PPTP

    • RSH

    • SQLNET

    • TFTP

    • XDMCP

    • SIP

动态路由和群集

路由进程仅在主设备上运行,而路由通过主设备获知并复制到从属设备。如果路由数据包到达从属设备,会被重定向到主设备。

图 1. 动态路由


当从属设备成员从主设备获知路由后,每台设备将独立作出转发决定。

OSPF LSA 数据库不会从主设备同步到从属设备。如果发生主设备切换,邻居路由器将检测到重新启动;切换并非透明的。OSPF 进程将挑选一个 IP 地址作为其路由器 ID。您可以分配一个静态路由器 ID,尽管不要求这样做,但这可以确保整个群集中使用的路由器 ID 一致。请参阅 OSPF 无中断转发功能,解决中断问题。

SCTP 和群集

SCTP 关联可以在任何设备上创建(由于负载均衡),但其多宿主连接必须位于同一设备上。

SIP 检测和群集

控制流可以在任何设备上创建(由于负载均衡),但其子数据流必须位于同一设备上。

不支持 TLS 代理配置。

SNMP 和群集

SNMP 代理按照本地 IP 地址轮询每一台 ASA。您无法轮询群集的合并数据。

您应始终使用本地地址而非主群集 IP 地址进行 SNMP 轮询。如果 SNMP 代理轮询主群集 IP 地址,则当选举出新的主设备时,对新的主设备的轮询将失败。

STUN 和群集

故障切换和群集模式支持 STUN 检查,因为针孔被复制。但是,设备之间不进行事务 ID 的复制。如果设备在收到 STUN 请求后发生故障,并且另一台设备收到 STUN 响应,则该 STUN 响应将被丢弃。

系统日志与 NetFlow 和群集

  • 系统日志 - 群集中的每台设备都会生成自己的系统日志消息。您可以配置日志记录,使每台设备在系统日志消息的报头字段中使用相同或不同的设备 ID。例如,群集中的所有设备都会复制和共享主机名配置。如果将日志记录配置为使用主机名作为设备 ID,则所有设备生成的系统日志消息都会看似来自一台设备。如果将日志记录配置为使用群集引导程序配置中指定的本地设备名称作为设备 ID,系统日志消息就会看似来自不同设备。

  • NetFlow - 群集中的每台设备都会生成自己的 NetFlow 数据流。NetFlow 收集器只能将每台 ASA 视为单独的 NetFlow 导出器。

思科 TrustSec 和群集

只有主设备可获知安全组标记 (SGT) 信息。然后,主设备将向从属设备提供 SGT,从属设备可根据安全策略为 SGT 作出匹配项决定。

FXOS 机箱上的 VPN 和群集

ASA FXOS 群集支持站点间 VPN 两个相互排斥的模式之一,即集中式或分布式:

  • 集中式 VPN 模式。默认模式。在集中式模式下,仅与群集的主设备建立 VPN 连接。

    VPN 功能仅限主设备使用,且不能利用群集的高可用性功能。如果主设备发生故障,所有现有的 VPN 连接都将断开,通过 VPN 连接的用户将遇到服务中断。选举出新的主设备后,您必须重新建立 VPN 连接。

    将 VPN 隧道连接到跨接口地址时,连接会自动转移到主设备。与 VPN 相关的密钥和证书将被复制到所有设备。

  • 分布式 VPN 模式。在此模式下,站点间 IPsec IKEv2 VPN 连接将跨 ASA 群集成员分布,从而提供可扩展性。在群集成员之间分布 VPN 连接可实现充分利用群集的容量和吞吐量,将 VPN 支持大幅扩展至集中式 VPN 功能之外。



集中式 VPN 群集模式支持站点间 IKEv1 和站点间 IKEv2。

分布式 VPN 群集模式仅支持站点间 IKEv2。

仅在 Firepower 9300 上支持分布式 VPN 群集模式。

集中式和分布式群集模式均不支持远程接入 VPN。


性能换算系数

将多台设备组成一个群集时,预计可以达到近似如下的群集总体性能:

  • 80% 的 TCP 或 CPS 合并吞吐量

  • 90% 的合并 UDP 吞吐量

  • 60% 的合并以太网混合 (EMIX) 吞吐量,取决于流量组合。

以 TCP 吞吐量为例,含 3 个模块的 Firepower 9300 在单独运行时大约可处理 135 Gbps 的实际防火墙流量。2 个机箱的最大合并吞吐量约为 270 Gbps(2 个机箱 x 135 Gbps)的 80%:216 Gbps。

主设备选择

群集成员通过群集控制链路通信,如下选举主设备:

  1. 当您部署群集时,每台设备会每隔 3 秒广播一次选举请求。

  2. 具有较高优先级的任何其他设备都会响应选举请求;优先级在您部署群集时设置且不可配置。

  3. 如果某设备在 45 秒后未收到另一个具有较高优先级的设备的响应,则该设备会成为主设备。

  4. 如果稍后有优先级更高的设备加入群集,则该设备不会自动成为主设备;现有主设备将一直作为主设备,除非它停止响应,届时将选举新的主设备。



您可以手动强制一台设备成为主设备。对集中功能而言,如果强制更改主设备,则所有连接都将断开,而您必须在新的主设备上重新建立连接。


群集中的高可用性

群集通过监控机箱、设备和接口的运行状态并在设备之间复制连接状态来提供高可用性。

机箱应用程序监控

机箱应用程序运行状况监控始终处于启用状态。Firepower 4100/9300 机箱 管理引擎会定期检查 ASA 应用程序(每秒)。如果 ASA 已启动且无法与 Firepower 4100/9300 机箱 管理引擎通信达到 3 秒,则 ASA 会生成系统日志消息并离开群集。

如果 Firepower 4100/9300 机箱 管理引擎在 45 秒后仍无法与应用程序通信,则会重新加载 ASA。如果 ASA 无法与管理引擎通信,则会将自身从群集中删除。

设备运行状况监控

主设备通过群集控制链路定期(期限可配置)发送心跳消息来监控每台从属设备。每台从属设备也使用相同的机制来监控主设备。如果设备运行状况检查失败,系统将从群集中删除该设备。

接口监控

每台设备都会监控使用中的所有硬件接口的链路状态,并向主设备报告状态更改。对于机箱间群集,跨网络 EtherChannel 使用群集链路汇聚控制协议 (cLACP)。每个机箱都会监控链路状态和 cLACP 协议消息,以确定端口在 EtherChannel 中是否仍处于活动状态,并在接口关闭时通知 ASA应用。当启用运行状况监控时,默认情况下监控所有物理接口(包括 EtherChannel 接口的主 EtherChannel)。仅可监控处于开启状态的命名接口。例如,只有 EtherChannel 的所有成员端口都出现故障时,才会从群集中删除指定的 EtherChannel(取决于您的最低端口捆绑设置) 可以选择性地禁用对每个接口的监控。

如果监控的接口在某特定设备上发生故障,但在其他设备上处于活动状态,则该设备将从群集中删除。ASA 在多长时间后从群集中删除成员取决于该设备是既定成员还是正在加入群集的设备。ASA在设备加入群集后的最初 90 秒不监控接口。在此期间的接口状态更改不会导致 ASA从群集中删除。对于既定成员,设备将在 500 毫秒后删除。

对于机箱间群集,如果从群集添加或删除一个 EtherChannel,则接口运行状况监控将暂停 95 秒,以确保您有时间在每个机箱上进行更改。

修饰符应用监控

在接口上安装某种修饰符应用时,例如 Radware DefensePro 应用,ASA 和该修饰符应用必须处于运行状态,以保留在群集中。只有两个应用都处于运行状态,设备才会加入群集。加入群集后,设备每 3 秒钟监控一次修饰符应用的运行状况。如果修饰符应用关闭,设备将从群集中移除。

发生故障后的状态

当群集中的设备发生故障时,该设备承载的连接将无缝转移到其他设备;流量的状态信息将通过群集控制链路共享。

如果主设备发生故障,则优先级最高(数字最小)的另一个群集成员将成为主设备。

ASA 将自动尝试重新加入群集,具体取决于故障事件。



ASA变成不活动状态且无法自动重新加入群集时,所有数据接口都会关闭,仅管理专用接口可以发送和接收流量。 管理接口将保持打开,使用设备从群集 IP 池接收的 IP 地址。但是,如果您重新加载而设备在群集中仍然处于非活动状态,管理接口将被禁用。您必须使用控制台端口来进行任何进一步配置。


重新加入群集

当群集成员从群集中删除之后,如何才能重新加入群集取决于其被删除的原因:

  • 群集控制链路在最初加入时出现故障 - 在解决群集控制链路存在的问题后,您必须重新启用群集,以手动重新加入群集。

  • 加入群集后出现故障的群集控制链路 - ASA 无限期地每 5 分钟自动尝试重新加入。此行为是可配置的。

  • 出现故障的数据接口 - ASA 尝试在 5 分钟时、然后在 10 分钟时、最后在 20 分钟时重新加入。如果 20 分钟后仍加入失败,ASA 将禁用群集。解决数据接口问题之后,您必须 来手动启用群集。此行为是可配置的。

  • 设备发生故障 - 如果设备因设备运行状况检查失败而从群集中删除,则如何重新加入群集取决于失败的原因。例如,临时电源故障意味着设备会在重新启动后重新加入群集,只要群集控制链路开启即可。设备会每 5 秒尝试重新加入群集。

  • 机箱应用发生通信故障 - 当 ASA 检测到机箱应用运行状况恢复后,ASA 会自动尝试重新加入群集。

  • 修饰器应用发生故障 - 当检测到装饰器应用备份时,ASA 会重新加入群集。

  • 内部错误 - 内部故障包括:应用同步超时;应用状态不一致等。 设备将尝试以下列间隔自动重新加入群集:5 分钟,10 分钟,然后是 20 分钟。此行为是可配置的。

数据路径连接状态复制

每个连接在群集中都有一个所有者和至少一个备用所有者。备用所有者在发生故障时不会接管连接;而是存储 TCP/UDP 状态信息,使连接在发生故障时可以无缝转移到新的所有者。备用所有者通常也是导向器。

有些流量需要 TCP 或 UDP 层以上的状态信息。请参阅下表了解支持或不支持此类流量的群集。

表 3. 在群集中复制的功能

流量

状态支持

备注

运行时间

跟踪系统运行时间。

ARP 表

MAC 地址表

用户标识

包括 AAA 规则 (uauth) 和身份防火墙。

IPv6 邻居数据库

支持

动态路由

支持

SNMP 引擎 ID

不会利用

-

集中式 VPN(站点到站点)

不会利用

如果主设备发生故障,VPN 会话将断开连接。

分布式 VPN(站点到站点)

备用会话成为主用会话,并创建一个新的备用会话。

群集管理连接的方式

可以将连接负载均衡到多个群集成员。连接角色决定了在正常操作中和高可用性情况下处理连接的方式。

连接角色

请参阅为每个连接定义的下列角色:

  • 所有者 - 通常为最初接收连接的设备。所有者负责维护 TCP 状态并处理数据包。一个连接只有一个所有者。如果原始所有者发生故障,则当新设备从连接接收到数据包时,导向器会从这些设备中选择新的所有者。

  • 备用所有者 - 存储从所有者接收的 TCP/UDP 状态信息的设备,以便在出现故障时可以无缝地将连接转移到新的所有者。在发生故障时,备用所有者不会接管连接。如果所有者处于不可用状态,从该连接接收数据包的第一台设备(根据负载均衡而定)联系备用所有者获取相关的状态信息,以便成为新的所有者。

    只要导向器(见下文)与所有者不同,导向器也可以是备用所有者。如果所有者选择自己作为导向器,则选择一个单独的备用所有者。

    对于 Firepower 9300 上的在一个机箱中包括多达 3 个群集设备的机箱间群集,如果备用所有者与所有者在同一机箱上,则将从另一个机箱中选择一个额外的备用所有者来保护流量免受机箱故障的影响。

    如果您对站点间群集启用导向器本地化,则有两个备用所有者角色:本地备用和全局备用。所有者始终选择与自身位于同一站点(基于站点 ID)的本地备用。全局备用可以位于任何站点,甚至可以与本地备用是同一台设备。所有者向两个备用所有者发送连接状态信息。

    如果启用站点冗余,并且备用所有者与所有者位于同一站点,则将从另一个站点选择一个额外的备用所有者来保护流量免受站点故障的影响。机箱备份和站点备份是独立的,因此流量在某些情况将同时具有机箱备份和站点备份。

  • 导向器 - 处理来自转发器的所有者查找请求的设备。当所有者收到新连接时,会根据源/目标 IP 地址和端口的散列值选择导向器,然后向导向器发送消息来注册该新连接。如果数据包到达除所有者以外的任何其他设备,该设备会向导向器查询哪一台设备是所有者,以便转发数据包。一个连接只有一个导向器。如果导向器发生故障,所有者会选择一个新的导向器。

    只要导向器与所有者不是同一设备,导向器也可以是备用所有者(见上文)。如果所有者选择自己作为导向器,则选择一个单独的备用所有者。

    如果您对站点间群集启用导向器本地化,则有两个导向器角色:本地导向器和全局导向器。所有者始终选择与它自身位于同一站点(基于站点 ID)的本地导向器。全局导向器可以位于任何站点,甚至可以与本地导向器是同一设备。如果原始所有者发生故障,本地导向器将在同一站点选择新的连接所有者。

  • 转发器 - 向所有者转发数据包的设备。如果转发者收到并非其所有的连接的数据包,则会向导向器查询所有者,然后为其收到的此连接的任何其他数据包建立发往所有者的流量。导向器也可以是转发者。如果启用导向器本地化,转发器将始终向本地导向器查询。如果本地导向器未获知所有者,例如,当群集成员收到所有者位于其他站点上的连接的数据包时,转发者将仅查询全局导向器。请注意,如果转发者收到 SYN-ACK 数据包,它可以从数据包的 SYN Cookie 直接获知所有者,因此无需向导向器查询。(如果禁用 TCP 序列随机化,则不会使用 SYN Cookie;必须向导向器查询。)对于 DNS 和 ICMP 等持续时间极短的流量,转发者不会查询,而是立即将数据包发送到导向器,然后由其发送到所有者。一个连接了可以有多个转发器;采用良好的负载均衡方法可以做到没有转发器,让一个连接的所有数据包都由所有者接收,从而实现最高效率的吞吐量。

当连接使用端口地址转换 (PAT) 时,PAT 类型(每会话或多会话)会对哪个群集成员将成为新连接的所有者产生影响:

  • 每会话 PAT - 所有者是接收连接中的初始数据包的设备。

    默认情况下,TCP 和 DNS UDP 流量均使用每会话 PAT。

  • 多会话 PAT - 所有者始终是主设备。如果多会话 PAT 连接最初由从属设备接收,则由从属设备将连接转发至主设备。

    默认情况下,UDP(DNS UDP 除外)和 ICMP 流量均使用多会话 PAT,因此这些连接的所有者始终是主设备。

您可以更改 TCP 和 UDP 的每会话 PAT 默认设置,以便根据配置按每会话或多会话处理这些协议的连接。对于 ICMP,您不能更改默认的多会话 PAT。有关每会话 PAT 的详细信息,请参阅防火墙配置指南。

新连接所有权

通过负载均衡将新连接定向到群集成员时,该连接的两个方向都由此设备所有。如果该连接有任何数据包到达其他设备,这些数据包都会通过群集控制链路被转发到所有者设备。如果反向流量到达其他设备,会被重定向回原始设备。

数据流示例

以下图例显示了新连接的建立。

  1. SYN 数据包从客户端发出,被传送到一台 ASA(基于负载均衡方法),该设备将成为所有者。所有者创建一个流量,将所有者信息编码为 SYN Cookie,然后将数据包转发到服务器。

  2. SYN-ACK 数据包从服务器发出,被传送到一台不同的 ASA(基于负载均衡方法)。此 ASA是转发者。

  3. 由于转发器不是该连接的所有者,因此它将解码 SYN Cookie 中的所有者信息,然后创建发往所有者的转发流量,并将 SYN-ACK 数据包转发到所有者。

  4. 所有者将状态更新发送到导向器,然后将 SYN-ACK 数据包转发到客户端。

  5. 导向器接收来自所有者的状态更新,创建发往所有者的流量,并记录 TCP 状态信息以及所有者。导向器将充当该连接的备用所有者。

  6. 传送到转发器的任何后续数据包都会被转发到所有者。

  7. 如果数据包被传送到任何其他设备,它将向导向器查询所有者并建立一个流量。

  8. 该流量的任何状态更改都会导致所有者向导向器发送状态更新。

Firepower 4100/9300 机箱上 ASA 群集的历史

功能名称

版本

功能信息

群集中的“死连接检测”(DCD) 支持的发起方和响应方信息。

9.13(1)

如果启用“死连接检测”(DCD),则可以使用该 show conn detail 命令获取有关发起方和响应方的信息。通过“死连接检测”,您可以保持非活动连接,并且 show conn 输出会显示终端的探测频率。此外,在群集中现在还支持 DCD。

未修改任何菜单项。

监控群集的流量负载

9.13(1)

现在,您可以监控群集成员的流量负载,包括总连接计数、CPU 和内存使用情况以及缓冲区丢弃。如果负载过高,且剩余的设备可以处理负载,您可以选择在设备上手动禁用群集,或调整外部交换机上的负载均衡。默认情况下启用此功能。

新增/修改的屏幕:

  • 配置 > 设备管理 > 高可用性和可扩展性 > ASA 群集 > 群集配置 > 启用群集负载监控复选框

  • 监控 > ASA 群集 > 群集负载监控

加快加入群集的速度

9.13(1)

当从属设备与主设备配置相同时,系统将跳过配置同步操作,从而加快加入群集的速度。此功能默认启用。此功能需要在每部设备上单独配置,而不是从主设备复制到从属设备。

 

某些配置命令与加速群集加入不兼容;如果设备上存在这些命令,即使已启用加速群集加入,也将始终出现配置同步。您必须删除不兼容的配置,以加速群集加入工作。使用 show cluster info unit-join-acceleration incompatible-config 查看不兼容的配置。

新增/修改的菜单项:配置 > 设备管理 > 高可用性和可扩展性 > ASA 群集 > 群集配置 > 启用配置同步加速复选框

适用于群集的每站点免费 ARP

9.12(1)

现在,ASA 可以生成免费 ARP (GARP) 数据包,以确保交换基础设施始终处于最新状态:它将作为每个站点优先级最高的成员,定期生成流向全局 MAC/IP 地址的 GARP 流量。当使用来自群集的各站点 MAC 和 IP 地址数据包使用站点特定的 MAC 地址和 IP 地址时,群集接收的数据包使用全局 MAC 地址和 IP 地址。如果流量不是定期从全局 MAC 地址生成的,您的全局 MAC 地址交换机上可能会出现 MAC 地址超时。发生超时后,以全局 MAC 地址为目标的流量将在整个交换基础设施中进行泛洪,这有可能造成性能和安全问题。当您为每台设备设置站点 ID 和为每个跨区以太网通道设置站点 MAC 地址时,默认情况下会启用 GARP。

新增/修改的菜单项:配置 > 设备管理 > 高可用性和可扩展性 > ASA 群集 > 群集配置 > 站点周期 GARP 字段

设备按机箱并行加入群集

9.10(1)

对于 Firepower 9300,此功能可确保机箱中的安全模块同时加入群集,以便在模块之间均匀分配流量。如果某个模块先于其他模块很早加入,它可能会收到超过所需的流量,因为其他模块还无法分担负载。

新增/修改的菜单项:

配置 > 设备管理 > 高可用性和可扩展性 > ASA 集群

新增/修改的选项:按机箱并行加入设备区域

Firepower 4100/9300 的群集控制链路可自定义 IP 地址

9.10(1)

默认情况下,群集控制链路使用 127.2.0.0/16 网络。现在,可以在 FXOS 中部署群集时设置网络。机箱根据机箱 ID 和插槽 ID 自动生成每个设备的群集控制链路接口 IP 地址:127.2.chassis_id.slot_id。但是,某些网络部署不允许 127.2.0.0/16 流量通过。因此,您现在可以为 FXOS 中的群集控制链路设置一个自定义的 /16 子网(环回 (127.0.0.0/8) 和组播 (224.0.0.0/4) 地址除外)。

新增/修改的 Firepower 机箱管理器菜单项:

逻辑设备 > 添加设备 > 集群信息

新增/修改的选项:CCL 子网 IP 字段

群集接口防反跳时间现在应用于从故障状态更改为正常运行状况的接口

9.10(1)

在发生接口状态更新时,ASA 会等待 health-check monitor-interface debounce-time 命令或 ASDM 配置 > 设备管理 > 高可用性和可扩展性 > ASA 集群菜单项中指定的毫秒数,然后才将接口标记为发生故障,并将设备从群集中删除。此功能现在应用于从故障状态更改为正常运行状态的接口。例如,对于从故障状态转换为正常运行状态的 EtherChannel(例如,交换机重新加载或交换机启用 EtherChannel)而言,更长的防反跳时间可以防止群集上的接口仅仅因为另一个群集设备在绑定端口时的速度更快便显示为故障状态。

未修改任何菜单项。

内部故障后自动重新加入群集

9.9(2)

过去,许多错误条件导致群集设备从群集中移除,并且在解决问题后需要手动重新加入群集。现在,设备默认将尝试以下列时间间隔自动重新加入群集:5 分钟、10 分钟以及 20 分钟。这些值是可配置的。内部故障包括:应用程序同步超时、不一致的应用程序状态等。

新增或修改的菜单项:配置 > 设备管理 > 高可用性和可扩展性 > ASA 集群 > 自动重新加入

显示群集可靠传输协议消息的传输相关统计信息

9.9(2)

现在,您可以查看每台设备的群集可靠传输缓冲区使用情况,因此您可以确定在控制平面的缓冲区已满时发生的丢包问题。

新增或修改的命令:show cluster info transport cp detail

改进了 Firepower 机箱运行状况检查故障检测

9.9(1)

现在,您可以为机箱运行状况检查配置较低的保持时间:100 毫秒。以前的最小值为 300 毫秒。请注意,最小组合时间(间隔x重试计数)不能小于 600 毫秒。

新增或修改的命令:app-agent heartbeat interval

无 ASDM 支持。

站点间群集冗余

9.9(1)

站点间冗余可确保流量的备份所有者将始终位于不同于该所有者的另一站点。此功能可防范站点发生故障。

新增或修改的屏幕:配置 > 设备管理 > 高可用性和可扩展性 > ASA 集群

通过 Firepower 9300 上的群集支持分布式站点到站点 VPN

9.9(1)

Firepower 9300 上的 ASA 群集在分布式模式下支持站点到站点 VPN。通过分布式模式,可以实现跨 ASA 群集成员分布的许多站点间 IPSec IKEv2 VPN 连接,而不只是在主设备上实现(在集中式模式下)。这将在集中式 VPN 功能的基础上大幅扩展 VPN 支持,并提供高可用性。分布式站点间 VPN 在最多由两个机箱组成的群集上运行,每个机箱最多包含三个模块(群集成员总共包含六个),每个模块最多支持 6K 个活动会话(总共 12K 个),最多支持大约 36K 个活动会话(总共 72K 个)。

新增或修改的菜单项:

监控 > ASA 集群 > ASA 集群 > VPN 集群摘要

监控 > VPN > VPN 统计信息 > 会话 > 从属

配置 > 设备管理 > 高可用性和可扩展性 > ASA 集群

向导 > 站点到站点

监控 > VPN > VPN 统计信息 > 会话

监控 > ASA 集群 > ASA 集群 > VPN 集群摘要

监控 > ASA 集群 > ASA 集群 > 系统资源图 > CPU/内存

监控 > 日志记录 > 实时日志查看器

改进的群集设备运行状况检查故障检测

9.8(1)

现在可为设备运行状态检查配置更短的保持时间:最小值为 0.3 秒。过去的最小值为 0.8 秒。此功能可将设备运行状态检查消息传递方案从控制平面中的 keepalives 更改为数据平面中的 heartbeats。使用心跳设置可改进群集的可靠性和响应能力,使其不易受控制平面 CPU 占用和调度延迟所影响。请注意,配置较低的保持时间值会增加群集控制链路消息活动。我们建议您在配置低保持时间值之前先分析网络状况;例如,确保在保持时间/3 范围内通过群集控制链路返回从一台设备到另一台设备的 ping,因为在一个保持时间间隔内有三次心跳消息。如果在将保持时间设置为 0.3 - 0.7 后对 ASA 软件降级,则此设置将恢复为默认的 3 秒,因为新设置不受支持。

修改了以下菜单项:配置 > 设备管理 > 高可用性和可扩展性 > ASA 集群

Firepower 4100/9300 机箱 可配置防反跳时间,以将接口标记为发生故障

9.8(1)

您现在可以配置 ASA 将接口视为发生故障并将设备从群集中删除之前经过的防反跳时间。此功能可以加快接口故障检测的速度。请注意,如果配置的防反跳时间较低,会增加误报几率。在发生接口状态更新时,ASA 会等待指定的毫秒数,然后才将接口标记为发生故障,并将设备从群集中删除。默认的防反跳时间是 500 毫秒,该时间的范围是 300 毫秒至 9 秒。

新增或修改的菜单项:配置 > 设备管理 > 高可用性和可扩展性 > ASA 集群

Firepower 4100/9300 机箱上的 ASA 的站点间群集改进

9.7(1)

现在,您可以在部署 ASA 群集时为每个 Firepower 4100/9300 机箱 配置站点 ID。以前,您必须在 ASA 应用中配置站点 ID;此新功能简化了最初的部署。请注意,您不能再在 ASA 配置中设置站点 ID。此外,为了实现与站点间群集的最佳兼容性,我们建议您升级到 ASA 9.7(1) 和 FXOS 2.1.1,升级版包含对稳定性和性能的多项改进。

修改了以下菜单项:配置 > 设备管理 > 高可用性和扩展性 > ASA 集群 > 集群配置

导向器本地化:数据中心的站点间群集改进

9.7(1)

为了提高性能和将流量保存在数据中心站点间群集的某个站点内,您可以启用导向器本地化。新的连接通常实现了负载均衡,并且由特定站点中的群集成员拥有。但是,ASA 会向任意站点的成员分配导向器角色。导向器本地化支持其他导向器角色:与所有者同一站点的本地导向器和可位于任意站点的全局导向器。将所有者和导向器保留在同一站点可以提高性能。此外,如果原始所有者发生故障,本地导向器将在同一站点选择新的连接所有者。当群集成员收到属于其他站点的连接的数据包时,使用全局导向器。

修改了以下屏幕:Configuration > Device Management > High Availability and Scalability > Cluster Configuration

支持 16 个机箱 Firepower 4100 系列

9.6(2)

现在,您可以向 Firepower 4100 系列 的群集中添加最多 16 个机箱。

未修改任何菜单项。

支持 Firepower 4100 系列

9.6(1)

使用 FXOS 1.1.4,ASA 在 Firepower 4100 系列 上支持机箱间群集。

未修改任何菜单项。

在路由、跨网络 EtherChannel 模式下支持站点特定的 IP 地址

9.6(1)

对于使用跨网络 EtherChannel 的路由模式下的站点间群集,除了站点特定的 MAC 地址以外,现在还可配置站点特定的 IP 地址。添加站点 IP 地址后,允许您对重叠传输虚拟化 (OTV) 设备使用 ARP 检测来防止通过数据中心互联 (DCI) 传输的全局 MAC 地址的 ARP 响应(可能导致路由问题)。对于无法使用 VACL 来过滤 MAC 地址的某些交换机,需要使用 ARP 检测。

修改了以下菜单项:配置 > 设备设置 > 接口设置 > 接口 > 添加/编辑 EtherChannel 接口 > 高级

16 个模块的机箱间群集,以及 Firepower 9300 ASA 应用的站点间群集

9.5(2.1)

现在您可利用 FXOS 1.1.3 启用机箱内群集,并扩展至站点间群集。最多可以包含 16 个模块。例如,您可以在 16 个机箱中使用 1 个模块,或者在 8 个机箱中使用 2 个模块,也可以使用最多提供 16 个模块的任意组合。

未修改任何菜单项。

在路由防火墙模式下,跨网络 EtherChannel 支持站点间群集的站点特定的 MAC 地址

9.5(2)

现在您可以在路由防火墙模式下对 Spanned EtherChannel 使用站点间群集。要避免 MAC 地址摆动,请为每个群集成员配置一个站点 ID,这样就可在站点的设备间共享每个接口的站点特定 MAC 地址。

修改了以下屏幕:Configuration > Device Management > High Availability and Scalability > ASA Cluster > Cluster Configuration

自定义接口或群集控制链路发生故障时的 ASA 群集自动重新加入行为

9.5(2)

现在您可以自定义接口或群集控制链路发生故障时的自动重新加入行为。

引入了以下屏幕:Configuration > Device Management > High Availability and Scalability > ASA Cluster > Auto Rejoin

ASA 群集支持 GTPv1 和 GTPv2

9.5(2)

ASA 群集现在支持 GTPv1 和 GTPv2 检测。

未修改任何菜单项。

TCP 连接的群集复制延迟

9.5(2)

该功能可以延迟导向器/备份流的创建,从而避免与短期流量相关的“不必要的工作”。

引入了以下菜单项:配置 > 设备管理 > 高可用性和可扩展性 > ASA 集群复制

针对站点间流移动性的 LISP 检测

9.5(2)

思科定位编号分离协议 (LISP) 架构将设备身份与设备位置分离开,并分隔到两个不同的编号空间,使服务器迁移对客户端透明化。ASA 可以通过检测 LISP 流量确定位置更改,并使用此信息进行无缝群集操作;ASA 群集成员检查第一跳路由器与出口隧道路由器 (ETR) 或入口隧道路由器 (ITR) 之间的 LISP 流量,然后将流所有者位置更改为新站点。

引入或修改了以下菜单项:

配置 > 设备管理 > 高可用性和可扩展性 > ASA 集群 > 集群配置

配置 > 防火墙 > 对象 > 检查映射 > LISP

配置 > 防火墙 > 服务策略规则 > 协议检查

配置 > 防火墙 > 服务策略规则 > 集群

监控 > 路由 > LISP-EID 表

现在支持在故障切换和 ASA 群集中增强运营商级 NAT

9.5(2)

对于运营商级或大规模 PAT,您可以为每台主机分配端口块,而无需通过 NAT 一次分配一个端口转换(请参阅 RFC 6888)。现在支持在故障切换和 ASA 群集部署中使用此功能。

未修改任何菜单项。

可配置级别群集跟踪条目

9.5(2)

默认情况下,所有级别的群集事件都储存在跟踪缓冲区中,包括大量低级事件。要将跟踪事件级别限制为更高级别,您可以设置群集跟踪事件的最低级别。

未修改任何菜单项。

Firepower 9300 的机箱内 ASA 群集

9.4(1.150)

最多可对 Firepower 9300 机箱内的 3 个安全模块建立群集。机箱中的所有模块都必须属于该群集。

引入了以下菜单项:配置 > 设备管理 > 高可用性和可扩展性 > ASA 集群复制