|
Cisco Secure Firewall 6100 的集群
|
10.0.0
|
10.0.0
|
Cisco Secure Firewall 6100 支持最多 4 个节点的跨区以太网通道集群。
|
|
通过 Cisco Secure Firewall 4200 上的集群支持分布式站点间 VPN
|
10.0.0
|
10.0.0
|
Cisco Secure Firewall 4200 上的 ASA 集群在分布式模式下支持站点间 VPN。使用分布式模式能够在集群的成员之间分布多个站点间 IPsec IKEv2 VPN 连接,而不仅分布在控制节点上(如集中模式一样)。这将在集中式
VPN 功能的基础上大幅扩展 VPN 支持,并提供高可用性。
新增或修改的命令:cluster redistribute vpn-sessiondb、 show cluster vpn-sessiondb、cluster vpn-mode、show cluster resource usage、show vpn-sessiondb、show conn detail、show crypto ikev2 stats
|
|
集群重定向:支持 Cisco Secure Firewall 4200 非对称集群流量的流卸载
|
10.0.0
|
10.0.0
|
对于不对称流,集群重定向允许转发节点将流量分流到硬件上。此功能默认启用,但可以使用 FlexConfig 配置。
当现有流的流量被发送到不同节点时,该流量会通过集群控制链路重定向到所有者节点。由于不对称数据流会在集群控制链路上产生大量流量,因此由转发器分流这些数据流可提高性能。
新增/经修改的命令:flow-offload cluster-redirect (FlexConfig)、show conn 、show flow-offload flow 、show flow-offload info 。
|
|
在分布式站点间 VPN 模式下,对 防火墙管理中心 上的集群控制链路上的流量进行 IPsec 流分流
|
10.0.0
|
10.0.0
|
对于分布式站点间 VPN 模式中的不对称流量,IPsec 流分流现在可让流量所有者在硬件中解密通过集群控制链路转发的 IPsec 流量。此功能不可配置,且在启用 IPsec 流卸载时始终可用。
添加/修改的命令:show crypto ipsec sa detail 。
|
|
集群节点加入时的 MTU ping 测试通过尝试较小的 MTU 来提供更多信息
|
10.0.0
|
10.0.0
|
当某个节点加入集群时,它会向控制节点发送 ping,其数据包大小与集群控制链路 MTU 匹配,从而检查 MTU 兼容性。如果 ping 失败,它将尝试除以 MTU,并继续除以 2,直到 MTU ping 成功。成功的 ping 值会显示在 show cluster info trace 中,因此您可以将 MTU 调整为可用值,然后重试。
即使 ping 失败,系统仍允许节点加入集群。在这种情况下,您需要尽快解决 MTU 不匹配问题。
我们建议将交换机 MTU 的大小增加到建议的值,但如果您无法更改交换机配置,则可以使用集群控制链路的工作值来形成集群。
添加/修改的命令:show cluster info trace 、show cluster history 。
|
|
改进了高 CPU 情况下的集群控制链路运行状况检查
|
10.0.0
|
10.0.0
|
当集群节点 CPU 使用率较高时,系统将暂停运行状况检查,但不会将节点标记为运行状况不正常。此功能默认启用,但可以使用 FlexConfig 配置。
新增/经修改的命令:cpu-healthcheck-threshold (FlexConfig)、、、。
|
| 用于 Cisco Secure Firewall 3100/4200 的 16 节点集群。 |
7.6.0
|
7.6.0
|
对于 Cisco Secure Firewall 3100 和 4200,最大节点数从 8 增加到 16。
|
|
用于 Cisco Secure Firewall 3100/4200 集群的独立接口模式。
|
7.6.0
|
7.6.0
|
独立接口是正常的路由接口,每个接口都有自己的本地 IP 地址用于路由。每个接口的主集群 IP 地址 是固定地址,始终属于控制节点。当控制节点更改时,主集群 IP 地址将转移到新的控制节点,使集群的管理得以无缝继续。必须在上游交换机上分别配置负载均衡。
限制:不支持容器实例。
新增/修改的屏幕:
|
|
关于节点加入时时间节点的 MTU ping 测试
|
7.6.0
|
7.6.0
|
节点加入集群时,会向控制节点发送数据包大小为集群控制链路 MTU 两倍的 Ping 请求,以检查 MTU 兼容性。此前,仅控制节点发送 Ping。如果 ping 失败,系统会生成通知,以便您纠正连接的交换机上 MTU 不匹配的问题,然后重试。
添加/修改的命令:show cluster history 。
|
|
集群控制链路 ping 工具。
|
7.2.6
7.4.1
|
任意
|
您可以通过执行 ping 来检查是否所有集群节点都能通过集群控制链路相互连接。节点无法加入集群的一个主要原因是集群控制链路配置不正确,例如,集群控制链路 MTU 设置可能高于连接交换机的 MTU。
新增/修改的屏幕:
|
|
故障排除文件生成和下载可从“设备”(Device) 和“集群”(Cluster) 页面获取。
|
7.4.1
|
7.4.1
|
您可以在“设备”(Device) 页面上为每个设备以及在“集群”(Cluster) 页面上为所有集群节点生成和下载故障排除文件。对于集群,您可以将所有文件下载为一个压缩文件。您还可以为集群节点添加集群的集群日志。您也可以从菜单中触发文件生成。
新增/修改的菜单项:
|
|
当节点未能加入集群时,自动在该节点上生成故障排除文件。
|
7.4.1
|
7.4.1
|
如果节点未能加入集群,系统将自动为该节点生成故障排除文件。您可以从任务 (Tasks) 或集群 (Cluster) 页面下载该文件。
|
|
查看设备或设备集群的 CLI 输出。
|
7.4.1
|
任意
|
您可以查看一组预定义的 CLI 输出,帮助您排除设备或集群的故障。您还可以输入任何 show 命令并查看输出。
新增/修改的屏幕:
|
|
Cisco Secure Firewall 4200 的集群
|
7.4.0
|
7.4.0
|
Cisco Secure Firewall 4200 支持最多 8 个节点的跨区以太网通道集群。
|
|
集群运行状况监控设置
|
7.3.0
|
任意
|
您现在可以编辑集群运行状况监控设置。
新增/修改的屏幕:
|
注
|
如果您之前使用 FlexConfig 配置了这些设置,务必要在部署之前删除 FlexConfig 配置。否则,FlexConfig 配置将覆盖管理中心配置。
|
|
|
集群运行状况监控器控制面板
|
7.3.0
|
任意
|
您现在可以在集群运行状况监控控制面板上查看集群运行状况。
新增/修改的屏幕:
|
|
集群控制链路 MTU 的自动配置
|
7.2.0
|
7.2.0
|
集群控制链路接口的 MTU 现在会被自动设置为比最高数据接口 MTU 多 100 个字节;默认情况下,MTU 为 1600 字节。
|
|
Cisco Secure Firewall 3100 的集群
|
7.1.0
|
7.1.0
|
Cisco Secure Firewall 3100 支持最多 8 个节点的跨区以太网通道集群。
新增/修改的屏幕:
支持的平台:Cisco Secure Firewall 3100
|