Cisco Secure Firewall Threat Defense 高可用性
Cisco Secure Firewall Threat Defense 高可用性是一种故障转移配置,
-
需要两个相同的 Firewall Threat Defense 设备通过专用故障转移链路连接,还可以选择使用状态链路
-
支持主备故障转移,其中一个单元传输流量,而备用单元不主动传输流量,后者会同步配置和状态信息,以及
-
监控活动单元的运行状况(硬件、接口、软件和环境状态),以确定是否满足故障转移条件。
故障转移过程详情
发生故障转移时,主用设备会故障转移到备用设备,后者随即变为主用状态。系统会对主用设备的运行状况(硬件、接口、软件以及环境状态)进行监控,以便确定是否符合特定的故障转移条件。如果符合这些条件,将执行故障转移。
![]() 注 |
在公共云中运行的 Firewall Threat Defense Virtual不支持高可用性。有关配置 Firewall Threat Defense Virtual 设备以实现高可用性的详细信息,请参阅Cisco Secure Firewall Threat Defense Virtual 入门指南。 |
系统要求
系统要求定义了使 防火墙威胁防御 设备在指定 配置中正常运行所需的硬件、软件和许可证前提条件。
硬件要求
硬件要求是确保 配置中的两台设备可以
-
维护相同的硬件配置,包括型号、接口、模块和 RAM
-
支持适当的同步和故障转移功能,以及
-
确保可靠的高可用性操作。
硬件要求规格
配置中的两台设备必须满足以下要求:
-
型号相同。 此外,对于容器实例,它们必须使用相同的资源配置文件属性。
对于 Firepower 9300,仅在同类模块间支持高可用性。 但是,这两个机箱可以包含混合模块。例如,每个机箱都设有 SM-56、SM-48 和 SM-40。可以在 SM-56 模块之间、SM-48 模块之间和 SM-40 模块之间创建高可用性对。
如果在将高可用性对添加到 防火墙管理中心 后更改资源配置文件,则稍后应在对话框上更新每个设备的库存。
如果将不同的配置文件分配给已建立的高可用性对中的实例,这要求两台设备上的配置文件相同,则必须:
-
中断高可用性。
-
将新配置文件分配给两台设备。
-
重新建立高可用性。
-
-
拥有相同数量和类型的接口。
对于平台模式下的Firepower 4100/9300 机箱,在启用之前,所有接口都必须在 FXOS 中进行相同的预配置。如果您在启用后更改接口,请在备用设备上的 FXOS 中更改接口,然后在主用设备上进行相同更改。
如果在 配置中使用闪存大小不同的设备,请确保闪存较小的设备具有足够的空间来容纳软件映像文件和配置文件。如果闪存较小的设备没有足够的空间,从闪存较大的设备向闪存较小的设备进行配置同步将会失败。
软件要求
软件要求是 设备为在故障转移配置中正常运行而必须满足的配置规格。
所需软件规格
配置中的两台设备必须满足以下要求:
-
处于相同的防火墙模式(路由或透明)。
-
具有相同的软件版本。
-
位于防火墙管理中心上的同一个域或组中。
-
具有相同的 NTP 配置。请参阅为威胁防御配置 NTP 时间同步。
-
在防火墙管理中心上完全部署且没有未提交的更改。
-
在其任一接口中都未配置 DHCP 或 PPPoE。
-
(Firepower 4100/9300)具有相同的流量分流模式,同时启用或禁用。
高可用性对中 Firewall Threat Defense 设备的许可证要求
高可用性对中 Firewall Threat Defense 设备的许可证要求包含以下许可规范
-
需要配置中的两台设备具有相同的许可证
-
为每个许可证类型需要两个许可证授权,以及
-
在高可用性设置期间触发自动许可证同步。
许可证同步过程
高可用性配置中的两台 Firewall Threat Defense 设备必须具有相同的许可证。
高可用性配置需要两种许可证权利;对中的每个设备各一个。
在建立高可用性之前,将哪些许可证分配给辅助/备用设备并不重要。进行高可用性配置期间,防火墙管理中心 会释放分配给备用设备的所有不必要的许可证,并用分配给主/主用设备的相同许可证替换它们。例如,如果主用设备具有 基础版 许可证和 IPS 许可证,而备用设备只有 基础版 许可证, 防火墙管理中心 将与智能软件管理器通信,以从您的备用设备的账户获取可用 IPS 许可证。如果您的许可证帐户不包含足够的购买权利,则您的帐户将在您购买正确数量的许可证之前变得不符合要求。
故障转移和状态故障转移链路
故障切换链路和状态同步故障切换链路是专用连接,
-
在采用故障转移配置的两台设备之间建立通信
-
要求在相应设备之间使用相同的接口以实现一致性,并且
-
用于在配对设备之间传输关键的故障转移和状态信息。
配置建议
思科建议在故障转移链路或状态故障转移链路中的两台设备之间使用同一接口。例如,在故障转移链路中,如果您在设备 1 中使用的是 eth0,也要在设备 2 中使用相同的接口,即还是 eth0。
故障切换链路
故障切换链路是一种通信机制,它使故障转移对中的两个单元能够不断通信,以确定每个单元的运行状态。
故障转移链路数据
以下信息通过故障切换链路传输:
-
设备状态(主用或备用)
-
Hello 消息 (keep-alives)
-
网络链路状态
-
MAC 地址交换
-
配置复制和同步
故障转移链路接口
故障切换链路接口是一个专用的通信通道,
-
仅用于高可用性设备之间的故障转移通信
-
使用未使用的数据接口(物理或 EtherChannel)
-
不能与正常网络接口或用户数据流量共享,并且
-
需要根据设备型号确定特定的接口大小。
要求和限制和要求
您可以使用未使用的数据接口(物理接口 EtherChannel 接口)作为故障转移链路;但不能指定当前已配置名称的接口。 您也无法使用子接口 ,在机箱上定义用于多实例模式的子接口除外。故障转移链路接口不会配置为常规网络接口;该接口仅会因为故障转移而存在。该接口只能用于故障转移链路(还用于状态链路)。
Firewall 威胁防御 用户数据和故障转移链路之间共享接口。 您也不能在同一父接口上使用单独的子接口用于故障转移链路和数据 (仅限多实例机箱子接口)。如果将机箱子接口用于故障转移链路,则该父接口及其上的所有子接口仅限于用作故障转移链路。
![]() 注 |
使用 EtherChannel 作为故障链路或状态链路时,必须在建立高可用性之前,确认具有相同成员接口的同一 EtherChannel 在两台设备上都存在。 |
请参阅这些有关故障转移链路的准则:
-
Firepower 4100/9300 - 您不能使用管理类型接口作为故障切换链路。
-
请参阅这些有关调整链路大小的准则。
表 1. 故障切换链路大小 型号
组合故障转移和状态链路的接口大小
Firewall 200
1 Gbps
Firepower 1010
1 Gbps
Firepower 1100
1 Gbps
Cisco Secure Firewall 1200
1 Gbps
Cisco Secure Firewall 3100
Cisco Secure Firewall 3105—1 Gbps
Cisco Secure Firewall 3110—1 Gbps
Cisco Secure Firewall 3120—1 Gbps
Cisco Secure Firewall 3130—10 Gbps
Cisco Secure Firewall 3140—10 Gbps
Firepower 4100
10 Gbps
Cisco Secure Firewall 4200
10 Gbps
Firewall 6100
10 Gbps
Firepower 9300
10 Gbps
交替频率等于设备保持时间。
![]() 注 |
如果配置较大且设备保持时间较短,则在成员接口之间交替可以防止辅助设备加入/重新加入。这种情况下,请禁用其中一个成员接口,直到辅助设备加入。 |
对于用作故障转移链路的 EtherChannel,要阻止无序数据包,仅使用 EtherChannel 中的一个接口。如果该接口发生故障,则会使用 EtherChannel 中的下一个接口。您不能在 EtherChannel 配置用作故障转移链路时对其进行修改。
连接故障转移链路
故障切换链路可在采用故障转移配置的设备之间启用通信和协调。
您需要在故障转移设备之间建立物理连接,以启用适当的故障转移功能。
过程
|
使用以下方法之一连接故障切换链路:
如果不在设备之间使用交换机,并且接口发生故障,则两台对等体之间的链路将会断开。这种情况可能会妨碍故障排除工作,因为您无法轻松确定接口发生故障,导致链路断开的设备。 |
故障切换链路已物理连接,并为故障转移配置做好准备。
状态故障转移链路
状态同步故障切换链路可以
-
在故障转移设备之间传递连接状态信息,以及
-
必须配置为启用状态故障转移功能。
状态链路配置要求
要使用有状态故障转移,必须配置有状态故障转移链路(也称为有状态链路),以便传送连接状态信息。
共享故障转移链路
共享故障切换链路是一种接口保护方法,可使多个网络功能使用同一故障转移连接,不过大型配置和高流量网络应考虑使用状态和故障转移链路的专用接口。
有状态故障转移链路的专用接口
状态同步故障切换链路的专用接口是一种数据接口配置,该配置使用专门用于故障转移部署中状态链路的物理或 EtherChannel 接口。
性能注意事项
您可以将专用数据接口(如物理或 EtherChannel 接口)用于状态链路。有关专用状态链路的要求,请参阅故障转移链路接口。请参阅有关连接状态链接的的部分了解更多信息 连接故障转移链路。
为了实现最佳的长距离故障转移性能,状态链路延迟应小于 10 毫秒,但不超过 250 毫秒。如果延迟超过 10 毫秒,则由于故障转移消息的重新传输,性能可能会下降。
避免故障转移和数据链路中断
避免故障转移和数据链路中断是一种网络设计实践,
-
确保让故障转移链路和数据接口使用不同的路径,以便降低所有接口同时发生故障的可能性。
-
防止故障转移操作在故障切换链路断开时中止,以及
-
通过使用适当的连接场景来保持网络弹性。
连接场景
我们建议,让故障转移链路和数据接口使用不同的路径,以便降低所有接口同时发生故障的可能性。如果故障转移链路断开,则故障转移操作会被暂停,直到故障转移链路恢复正常。
这些连接情景有助于设计具有弹性的故障转移网络。
情景 1 - 不推荐
如果单台交换机或一组交换机用于连接两台 Firewall Threat Defense设备之间的故障转移和数据接口,则交换机或交换机间链路发生故障时,两台 Firewall Threat Defense设备都将处于主用状态。因此,建议不要使用这些图中显示的 2 种连接方法。


情景 2 - 推荐
我们建议不要让故障转移链路和数据接口使用相同的交换机,而是应使用不同的交换机或使用直连电缆来连接故障转移链路,如下图所示。


情景 3 - 推荐
如果 Firewall Threat Defense数据接口连接到多台交换机,则故障转移链路可以连接到其中一台交换机,最好是处于网络的安全一侧(内部)的交换机,如下图所示。

中的 MAC 地址和 IP 地址
中的 MAC 地址和 IP 地址是网络寻址机制,
-
在故障转移场景期间为网络接口提供唯一标识
-
在主设备不可用时保持网络连接,以及
-
确保主用和备用配置之间的无缝流量传输。
地址配置类型
当您配置接口时,可以在相同网络上指定一个主用 IP 地址和一个备用 IP 地址。通常情况下,当发生故障转移时,新的主用设备会接管主用 IP 地址和 MAC 地址。由于网络设备不会发现 MAC 与 IP 地址配对的变化,网络上的任意位置都不会发生 ARP 条目变化或超时。
![]() 注 |
虽然建议指定备用 IP 地址,但它并不是必需的。如果没有备用 IP 地址,则主用设备无法执行用于检查备用接口运行状态的网络测试;它只能跟踪链路状态。此外,您也无法出于管理目的,连接到该接口上的备用设备。 |
在发生故障转移时,状态链路的 IP 地址和 MAC 地址不会更改。
主用/备用配置使用特定地址处理方法:
对于主用/备用,请参阅下文,了解故障转移事件期间 IP 地址和 MAC 地址的使用情况:
-
主用设备始终使用主设备的 IP 地址和 MAC 地址。
-
当主用设备进行故障转移时,备用设备会使用故障设备的 IP 地址和 MAC 地址,并开始传送流量。
-
当故障设备恢复在线状态时,它现在处于备用状态,并且接管备用 IP 地址和 MAC 地址。
但如果辅助设备启动时未检测到主设备,辅助设备将成为主用设备,并使用其自己的 MAC 地址,因为它不知道主设备的 MAC 地址。当主设备变为可用时,辅助(主用)设备会将 MAC 地址更改为主设备的 MAC,这可能会导致网络流量中断。同样,如果您用新硬件替换主设备,将使用新 MAC 地址。
如果禁用高可用性并将故障转移配置设置为禁用状态,则需要手动恢复高可用性,或者重新启动设备。建议使用命令 configure high-availability resume 并恢复高可用性,而不是重新启动设备。如果在禁用故障转移配置的情况下重新加载备用设备,则备用设备将作为主用设备启动,并使用主设备的 IP 地址和 MAC 地址。这会导致 IP 地址重复并导致网络流量中断。使用命令 configure high-availability resume 启用故障转移并恢复流量。
![]() 注 |
如果在独立设备上启用故障转移,数据接口将在故障转移协商状态下关闭,从而中断流量。 |
使用虚拟 MAC 地址可防范这种中断,因为对于启动时的辅助设备,主用 MAC 地址是已知的,并在采用新的主设备硬件时保持不变。建议您在主设备和辅助设备上配置虚拟 MAC 地址,以确保辅助设备在作为主用设备时使用正确的 MAC 地址,即使它在主设备之前上线。如果您没有配置虚拟 MAC 地址,则可能需要清除连接的路由器上的 ARP 表,以便恢复流量。当 MAC 地址发生变化时,Firewall Threat Defense不会发送静态 NAT 地址的免费 ARP,因此连接的路由器不会知道这些地址的 MAC 地址发生变化。
对于主用/主用故障转移,请参阅下文,了解故障转移事件期间 IP 地址和 MAC 地址的使用情况:
-
主设备为故障转移组 1 和 2 个情景中的所有接口自动生成主用和备用 MAC 地址。如有必要,例如 MAC 地址发生冲突时,您也可以手动配置 MAC 地址。
-
每台设备将主用 IP 地址和 MAC 地址用于其主用故障转移组,并将备用地址用于其备用故障转移组。例如,主设备是故障转移组 1 的主用设备,因此它使用故障转移组 1 中情景的主用地址。它是故障转移组 2 中情景的备用设备,因此在其中使用备用地址。
-
当设备进行故障转移时,另一个设备将会承担出现故障的故障转移组的主用 IP 地址和 MAC 地址,并开始传送流量。
-
当故障设备恢复在线状态,并且您已启用抢占选项时,它将恢复故障转移组。
虚拟 MAC 地址提供专用功能:
Firewall Threat Defense 有多种方法配置虚拟 MAC 地址。我们建议仅使用一种方法。如果使用多种方法设置 MAC 地址,所使用的 MAC 地址会取决于许多变量,可能会不可预测。
对于多实例功能,FXOS 机箱仅为所有接口自动生成主 MAC 地址。如果同时具有主 MAC 地址和辅助 MAC 地址,则可以使用虚拟 MAC 地址覆盖生成的 MAC 地址,但预定义辅助 MAC 地址并非不可或缺;设置辅助 MAC 地址可确保在使用新的辅助设备硬件的情况下发送到设备的管理流量不会中断。
故障转移事件期间会发生 MAC 地址表更新:
在故障转移期间,被指定为新活动设备的设备会为 MAC 表中的每个 MAC 地址条目生成组播数据包,并将其发送到所有桥接组接口。此操作会提示网桥组中的上游交换机使用新活动设备的接口更新路由表,以确保准确的流量转发。
生成组播数据包和更新上游交换机路由表所需的时间取决于 MAC 地址表的条目数量和桥接组接口的数量。使用 show failover statistics state-switch-delay 命令可显示与故障转移事件期间遇到的延迟相关的统计信息。
状态故障转移
状态故障转移是一种高可用性机制,
-
不断将每个连接的状态信息从主用设备传递到备用设备
-
发生故障转移后,维护连接信息,以及
-
允许受支持的最终用户应用继续进行通信会话,而无需重新连接。
状态故障转移操作
状态故障转移期间,主用设备会不断将每个连接的状态信息发送至备用设备。发生故障转移之后,相同的连接信息在新主用设备上可用。支持的最终用户应用不需要通过重新连接来保持同一通信会话。
支持的功能
支持的功能指高可用性功能中
-
能使状态信息在状态故障转移期间传递到备用 Firewall Threat Defense 设备
-
能维护连接状态及关键信息以确保流量无缝传输;以及
-
能确保故障转移期间最大限度减少中断。
状态信息类型
对于状态故障转移,这些状态信息将传至备用设备:
-
NAT 转换表。
-
TCP 和 UDP 连接和状态,包括 HTTP 连接状态。其他类型的 IP 协议和 ICMP 不会通过主用设备解析,因为它们是在新数据包到达时在新的主用设备上建立的。
-
Snort 连接状态、检查结果和引脚信息,包括严格 TCP 实施。
-
ARP 表
-
第 2 层网桥表(适用于桥接组)
-
ISAKMP 和 IPsec SA 表
-
GTP PDP 连接数据库
-
SIP 信令会话和引脚。
-
静态和动态路由表 - 状态故障转移会参与动态路由协议(如 OSPF 和 EIGRP),因此通过主用设备上的动态路由协议获悉的路由,将会保留在备用设备的路由信息库 (RIB) 表中。发生故障转移事件时,数据包可以正常传输,并且只会对流量产生极小的影响,因为主用辅助设备一开始就具有镜像主设备的规则。进行故障转移后,新的主用设备上的重新融合计时器会立即启动。随后 RIB 表中的代编号将会增加。在重新融合期间,OSPF 和 EIGRP 路由将使用新的代编号进行更新。计时器到期后,过时的路由条目(由代编号确定)将从表中删除。于是 RIB 将包含新主用设备上的最新的路由协议转发信息。

注
路由仅会因为主用设备上的链路打开或关闭事件而同步。如果备用设备上的链路打开或关闭,从主用设备发出的动态路由可能会丢失。这是预期的正常行为。
-
DHCP 服务器 - 不会复制 DHCP 地址租用。但是,在接口上配置的 DHCP 服务器将发送 ping 命令,以确保在向 DHCP 客户端授予地址前不使用地址,使得服务不会受到影响。对于 DHCP 中继代理或 DDNS,状态信息不相关。
-
访问控制策略决策 - 在故障转移期间,会保留与流量匹配(包括 URL、URL 类别、地理位置等)、入侵检测、恶意软件和文件类型相关的决策。但是,对于在故障转移时评估的连接,有以下注意事项:
-
AVC - 系统会复制 App-ID 裁定,而不是检测状态。只要 App-ID 裁定是完整的,并且在发生故障转移之前完成同步,即可实现正确的同步。
-
入侵检测状态 - 进行故障转移时,一旦出现拾取中间流的情况,新检测既已完成,但旧状态会丢失。
-
文件恶意软件阻止 - 文件处置必须在故障转移之前变为可用。
-
文件类型检测和阻止 - 文件类型必须在故障转移之前加以识别。如果在原始主用设备识别文件时发生故障转移,则文件类型不同步。即使文件策略阻止该文件类型,新的主用设备也会下载该文件。
-
-
身份策略中的用户身份决策,包括通过 ISE 会话目录被动收集的用户到 IP 地址映射以及通过强制网络门户进行的主动身份验证。发生故障转移时进行主动身份验证的用户,可能会被提示再次进行身份验证。
-
网络 AMP - 云查找独立于每台设备,因此故障转移通常不会影响此功能。具体包括:
-
签名查找 - 如果在文件传输过程中发生故障转移,则不生成文件事件,也不进行检测。
-
文件存储 - 如果在存储文件时发生故障转移,则文件将存储在原始主用设备上。如果在存储文件时原始主用设备关闭,则不存储文件。
-
文件预分类(本地分析)- 如果在预分类期间发生故障转移,则检测失败。
-
文件动态分析(连接至云)- 如果发生故障转移,则系统可能会将文件提交至云。
-
存档文件支持 - 如果在分析期间发生故障转移,则系统可能会丢失对文件/存档的可视性。
-
自定义阻止操作 - 如果发生故障转移,系统将不生成事件。
-
-
安全智能决策。但是,不会完成故障转移过程中发生的基于 DNS 的决策。
-
RA VPN - 故障转移后,远程访问 VPN 终端用户不必对 VPN 会话重新进行身份验证,也不必重新连接。但是,在 VPN 连接上运行的应用,在故障转移过程中可能会丢失数据包,并且无法从数据包丢失中恢复。
-
在所有连接中,只有已建立的连接会在备用设备上复制。
不支持的功能
不支持的功能指无法满足以下条件的设备功能
-
不会在状态故障转移中同步至备用 Firewall Threat Defense 设备
-
在故障转移事件期间不维护状态信息,以及
-
可能需要在故障转移发生后重新建立。
状态信息限制
对于状态故障转移,以下状态信息不会传送至备用 Firewall Threat Defense:
-
明文隧道(例如 GRE 或 IP-in-IP)中的会话。不会复制隧道内部的会话,并且新的主动节点不能重复使用现有检测判定来匹配正确的策略规则。
-
已解密的 TLS/SSL 连接 - 解密状态不同步,如果主用设备发生故障,则系统会重置已解密的连接。需要与新的主用设备建立新连接。未解密的连接(也就是匹配TLS/SSL“不解密”规则操作的连接)不受影响,并且可以正确复制。
-
组播路由。
高可用性的网桥组要求
网桥组对高可用性的要求是需要特别考虑的因素
-
解决了故障转移期间网桥组成员接口上的流量丢失问题
-
防止交换机端口进入阻塞状态 30 到 50 秒,以及
-
提供在拓扑更改期间保持连接的变通方法。
高可用性解决方法
使用网桥组时,高可用性存在特殊的注意事项。
当主用设备故障切换到备用设备时,运行生成树协议 (STP) 的交换机端口在感知到拓扑变化时,系统会进入阻塞状态 30 秒至 50 秒。当端口处于阻塞状态时,为避免桥接组成员接口上出现流量丢失,您可以配置以下任一变通方案:
-
交换机端口处于接入模式 - 在交换机上启用 STP PortFast 功能:
interface interface_id spanning-tree portfast链路打开时,PortFast 功能会立即使端口转换到 STP 转发模式。该端口仍会参与 STP。因此,如果端口是环路的一部分,它最终会转换为 STP 阻塞模式。
-
如果交换机端口处于中继模式,或无法启用 STP PortFast,则您可以使用以下一种会影响故障切换功能或 STP 稳定性的不太理想的变通方案:
-
对桥接组和成员接口禁用接口监控。
-
将故障切换条件中的接口保持时间增加到较高的值,以使 STP 在设备进行故障切换之前融合。
-
减小交换机上的 STP 计时器,以使 STP 比接口保持时间更快地融合。
-
故障转移运行状态监控
故障转移运行状况监控是一项系统功能,可监控每个设备的整体运行状况和接口运行状况。
健康监控测试
防火墙威胁防御 设备可以执行测试以确定每台设备状态的信息。此部分包括有关 防火墙威胁防御 设备如何执行测试以确定每台设备状态的信息。
设备运行状况监控
设备运行状况监控是一种故障转移机制,
-
通过向故障切换链路发送 Hello 消息来确定对等体单元的运行状况
-
当连续三个 Hello 消息丢失时,在每个数据接口上发送 LANTEST 消息,并且
-
会根据对等设备的响应能力启动适当的故障转移操作。
设备运行状况监控行为
Firewall Threat Defense 设备会通过 Hello 消息监控故障转移链路,进而确定其他设备的运行状况。如果设备在故障转移链路上没有收到三条连续的 hello 消息,则设备会在每个数据接口(包括故障转移链路)上发送 LANTEST 消息,以验证对等体是否响应。Firewall Threat Defense 设备采取的操作取决于来自其他设备的响应。可能的操作如下:
-
如果 Firewall Threat Defense 设备在故障转移链路上收到响应,则不会进行故障转移。
-
如果 Firewall Threat Defense 设备在故障转移链路上未收到响应,但在数据接口上收到响应,则设备不会进行故障转移。故障转移链路会标记为发生故障。您应尽快恢复故障转移链路,因为当故障转移切换发生故障时,设备无法故障转移到备用设备。
-
如果 Firewall Threat Defense 设备未在任何接口上收到响应,则备用设备会切换至主用模式,并会将另一台设备分类为故障设备。
![]() 注 |
在高可用性故障转移事件期间, Firewall Threat Defense 设备 的运行状况监控控制面板中可能会短暂显示为 离线 (Offline) 。发生这种情况是因为运行状况警报会在此过程中被清除,并且仅在该过程完成后才会更新。等待故障切换操作完成。 |
心跳模块冗余
心跳模块冗余是一种高可用性功能,可以
-
使用数据平面传输基础设施发送心跳消息,以补充控制平面心跳数据包
-
在对等体在数据平面中收到心跳数据包时递增计数器
-
在控制平面因流量拥堵时防止虚假故障转移或裂脑场景。
心跳模块冗余行为
HA 中的每个单元定期通过故障转移链路发送广播保活心跳数据包。如果控制平面忙于处理流量,有时心跳数据包无法到达对等体,或者对等体由于 CPU 过载而无法处理心跳数据包。当对等体无法在可配置的超时期限内传达保持连接状态时,会发生错误的故障转移或裂脑场景。
数据平面中的心跳模块有助于避免由于控制平面中的流量拥塞而发生错误的故障转移或裂脑。
-
附加心跳模块的工作原理与控制平面模块类似,但使用数据平面传输基础设施发送和接收心跳消息。
-
当对等体在数据平面中收到心跳数据包时,计数器会递增。
-
如果控制平面中的心跳传输失败,则节点会检查数据平面中的心跳计数器。如果计数器递增,则表示对等体处于活动状态,并且集群在这种情况下不会执行故障转移。
![]() 注 |
|
接口监控
接口监控是一种故障转移功能,
-
跟踪最多 1025 个接口的运行状况,以检测接口故障
-
当在 15 秒内未收到 hello 消息时执行接口测试,并且
-
当故障接口数达到定义的阈值时,会触发故障转移。
接口监控操作
当设备在 15 个秒,未在受监控的接口上收到 hello 消息时,将运行接口测试。如果对于某个接口,其中一个接口测试失败,但在另一设备上的此接口继续成功传送流量,则此接口会被视为发生故障, 设备停止运行测试。
如果满足您为故障接口数量定义的阈值 (请参阅 ,然后 ),并且主用设备的故障接口数量多于备用设备,则会发生故障转移。 如果某个接口在两个单元上都失败,则这两个接口会进入“Unknown”状态,并且不会计入由故障转移接口政策制定的故障转移限制。
如果接口收到任何流量,则该接口会再次变为正常工作状态。如果不再满足接口故障阈值,发生故障的 设备会回到备用模式。
如果接口上配置了 IPv4 和 IPv6 地址, 设备会使用 IPv4 地址执行运行状况监控。如果接口上仅配置了 IPv6 地址,则 设备会使用 IPv6 邻居发现,而不是 ARP 来执行运行状况监控测试。对于广播 Ping 测试, 设备会使用所有的 IPv6 节点地址 (FE02::1)。
接口测试
接口测试属于以下监控机制:
-
在故障转移场景期间评估接口的运行状态
-
默认情况下按顺序运行,每个测试的持续时间约为1.5秒,并且
-
确定 防火墙威胁防御 设备单元上的接口故障状态。
接口测试顺序
防火墙威胁防御 设备会按顺序使用这些接口测试:
-
链路打开/关闭测试 - 一种接口状态测试。如果链路打开/关闭测试指示接口关闭,则 设备视为测试失败,然后测试停止。如果状态为打开,则 设备执行 Network Activity 测试。
-
网络活动测试 - 接收的网络活动测试。测试开始时,每台设备会清除其接口收到的数据包计数。在测试期间,一旦设备收到符合条件的数据包,则接口会被视为正常运行。如果两台设备都收到流量,则测试会停止。如果一台设备收到测试流量,另一设备未收到,则未收到流量的设备会被视为已发生故障。如果两台设备均收到了流量,则 设备开始进行 ARP 测试。
-
ARP 测试 - 用于测试成功的 ARP 回复。每台设备都向其 ARP 表中最新条目中的 IP 地址发送一个 ARP 请求。如果设备在测试期间收到 ARP 回复或其他网络流量,则认为该接口运行正常。如果设备未收到 ARP 回复,则 设备会向 ARP 表中的下一个条目中的 IP 地址发送一次 ARP 请求。如果设备在测试期间收到 ARP 回复或其他网络流量,则认为该接口运行正常。如果两台设备都收到流量,则测试会停止。如果一台设备收到测试流量,另一设备未收到,则未收到流量的设备会被视为已发生故障。如果两台设备均收到了流量,则 设备开始进行广播 Ping 测试。
-
广播 Ping 测试 - 测试成功的 Ping 回复。每台设备发送一个广播 Ping,然后对收到的所有数据包进行计数。在测试期间,当设备收到任何数据包,则接口会被视为正常运行。如果两台设备都收到流量,则测试会停止。如果一台设备收到测试流量,另一设备未收到,则未收到流量的设备会被视为已发生故障。如果未收到任何流量,则测试将通过 ARP 测试再次开始。如果两台设备继续没有收到来自 ARP 和广播 Ping 测试的流量,则测试将会一直运行下去。
接口状态
接口状态是一种监控指示器,
-
显示故障转移配置中受监控接口的当前运行状态
-
跟踪对等设备之间的流量接收和 hello 数据包通信,以及
-
确定故障转移进程是否主动监控接口。
接口状态类型
受监控的接口可以具有以下状态类型:
-
未知:初始状态。此状态也可能意味着状态无法确定。
-
正常:接口正在接收流量。
-
正常(正在等待):接口已打开,但尚未从对等体设备上的对应接口接收欢迎数据包。
-
正常(未受监控):接口已打开,但未受故障转移进程监控。
-
正在测试:接口上有 5 个轮询时间未收听到 Hello 消息。
-
链路断开:接口或 VLAN 通过管理方式关闭。
-
链路断开(正在等待):接口或 VLAN 已通过管理方式关闭,并且尚未从对等体设备上的对应接口接收欢迎数据包。
-
链路断开(未受监控):接口或 VLAN 已通过管理方式关闭,但未受故障转移进程监控。
-
无链接:接口的物理链路关闭。
-
无链接(正在等待):接口的物理链路已关闭,并且尚未从对等体设备上的对应接口接收欢迎数据包。
-
无链接(未受监控):接口的物理链路已关闭,但未受故障转移进程监控。
-
失败:在接口上没有收到流量,但在对等体接口上收听到流量。
故障转移触发器和检测计时
故障转移触发器和检测计时是高可用性机制,具有以下功能:
-
当主用设备上发生特定故障条件时,启动自动切换,
-
通过可配置的检测阈值和计时参数监控系统运行状况,以及
-
当故障超过定义的限制时,通过将控制转移到备用设备来确保服务的连续性。
故障转移触发事件和时间参数
这些事件会在 Firepower 高可用性对中触发故障转移:
-
主用设备上超过 50% 的 Snort 实例已关闭。
-
主用设备上使用的磁盘空间已超过 90%。
-
主用设备上运行的是 no failover active 命令,而备用设备上运行的是 failover active 命令。
-
主用设备的故障接口比备用设备更多。
-
主用设备上的接口故障超过配置的阈值。
默认情况下,单个接口发生故障会导致故障转换。您可以通过配置接口数量的阈值或为发生故障转移而必须发生故障的受监控接口的百分比来更改默认值。如果主用设备上的阈值被超过,则会发生故障转移。如果备用设备上的阈值被超过,则设备将进入故障状态。
要更改默认故障转移条件,在全局配置模式下输入此命令:
表 2. 接口策略命令 命令
目的
failover interface-policy num [%]
hostname (config)# failover interface-policy 20%更改默认故障转移条件。
指定特定接口数时,num 参数可以介于 1 和 250 之间。
指定接口百分比时,num 参数可以介于 1 和 100 之间。
此表列出了故障转移触发事件及关联的故障检测时间。如果出现故障转移,您可以在消息中心中查看故障转移的原因,以及有关高可用性对的各种操作。您可以将这些阈值配置为指定的最小-最大范围内的值。
|
故障转移触发事件 |
最小 |
默认 |
最大 |
|---|---|---|---|
|
主用设备断电,硬件关闭或软件重新加载或崩溃。当出现这些情况时,受监控接口或故障转移链路不会收到任何 Hello 消息。 |
800 毫秒 |
15 秒 |
45 秒 |
|
主用设备接口物理链路发生故障。 |
500 毫秒 |
5 秒 |
15 秒 |
|
主用设备接口正常运行,但是连接问题导致接口测试。 |
5 秒 |
25 秒 |
75 秒 |
主用/备用故障转移
主用/备用故障转移是一种高可用性配置
-
允许使用备用 Firewall Threat Defense 设备接管故障设备的功能,
-
当主用设备故障,备用设备将变为主用设备,以及
-
若故障为暂时性,故障设备恢复后可重新作为备用设备上线。
若故障非暂时性,必须更换故障设备。更换故障设备前,须先将备用设备设为主设备,以保留辅助设备的配置。
对于多情景模式,ASA 可以在整个设备(包括所有情景)上进行故障转移,但不能在单个情景上单独进行故障转移。
主/辅角色与主/备状态
主/辅角色和主/备状态是故障转移配置概念,
-
定义设备层级结构,在同时启动时主设备优先,
-
确定故障转移操作期间的 IP 地址和 MAC 地址使用模式,以及
-
在主/备故障转移配置中的配对设备之间确立流量传输职责。
主设备与辅设备的差异
当设置主用/备用故障转移时,需要将一台设备配置为主设备,将另一台配置为辅助设备。配置过程中,主设备的策略将同步到辅助设备。此时,两台设备将作为单台设备进行设备和策略配置。但对于事件、控制面板、报告和运行状况监控,它们仍显示为单独的设备。
在故障转移对中这两台设备之间的主要区别是哪台是主用设备,哪台是备用设备,即要使用哪些 IP 地址以及哪台设备积极传递流量。
但是,设备之间还存在一些取决于哪一设备为主设备(在配置中指定),哪一设备为辅助设备的差别:
-
如果两台设备同一时间启动(并且运行状况相同),则主设备总是会成为主用设备。
-
主设备 MAC 地址始终与主用 IP 地址相匹配。此规则的例外是,当辅助设备成为主用设备并且无法通过故障转移链路获取主设备 MAC 时。在这种情况下,会使用辅助设备的 MAC 地址。
启动时的主用设备确定
启动时主用设备判定是高可用性过程
-
若设备启动时检测到对等体已运行为主用,则该设备置为备用,
-
若设备启动未检测到对等体,则置为主用;
-
若两台设备同时启动,主设备置为主用,辅助设备置为备用。
故障转移事件
故障转移事件是指
-
触发主用/备用故障转移配置中的主用设备将控制权移交给备用设备
-
按设备级别发生,,以及
-
遵循特定故障转移策略以确定是否发生故障转移及各设备应采取的操作。
故障转移事件策略和操作
此表显示各故障事件的故障转移操作。对于每种故障事件,该表显示了故障转移策略(故障转移或禁用故障转移)、主用设备执行的操作、备用设备执行的操作,以及有关故障转移条件和操作的所有特别说明。
|
故障事件 |
策略 |
主用设备操作 |
备用设备操作 |
说明 |
|---|---|---|---|---|
|
主用设备发生故障(电源或硬件) |
故障转移 |
不适用 |
成为主用设备 将主用设备标记为发生故障 |
在任何受监控接口或故障转移链路上,均未收到 Hello 消息。 |
|
以前的主用设备恢复 |
禁用故障转移 |
成为备用设备 |
无需操作 |
无。 |
|
备用设备发生故障(电源或硬件) |
禁用故障转移 |
将备用设备标记为发生故障 |
不适用 |
备用设备被标记为发生故障后,主用设备不会尝试进行故障转移,即使超过接口故障阈值也是如此。 |
|
故障转移链路在运行过程中发生故障 |
禁用故障转移 |
将故障转移链路标记为发生故障 |
将故障转移链路标记为发生故障 |
您应尽快恢复故障转移链路,因为当故障转移链路发生故障时,设备无法故障转移到备用设备。 |
|
故障转移链路在启动时发生故障 |
禁用故障转移 |
成为主用设备 将故障转移链路标记为发生故障 |
成为主用设备 将故障转移链路标记为发生故障 |
如果故障转移链路在启动时发生故障,则两台设备都会成为主用设备。 |
|
状态链路发生故障 |
禁用故障转移 |
无需操作 |
无需操作 |
如果发生故障转移,状态信息会过时,而且会话会被终止。 |
|
主用设备上的接口故障超过阈值 |
故障转移 |
将主用设备标记为发生故障 |
成为主用设备 |
无。 |
|
备用设备上的接口故障超过阈值 |
禁用故障转移 |
无需操作 |
将备用设备标记为发生故障 |
备用设备被标记为发生故障后,主用设备不会尝试进行故障转移,即使超过接口故障阈值也是如此。 |




反馈