أستكشاف أخطاء انقسام الدماغ وإصلاحها عند تجاوز فشل ASA

خيارات التنزيل

  • PDF     (532.4 KB)
    عرض باستخدام Adobe Reader على مجموعة متنوعة من الأجهزة
  • ePub     (310.0 KB)
    العرض في تطبيقات مختلفة على iPhone أو iPad أو نظام تشغيل Android أو قارئ Sony أو نظام التشغيل Windows Phone
  • Mobi (Kindle)     (230.9 KB)
    عرض على جهاز Kindle أو تطبيق Kindle على أجهزة متعددة
تم التحديث:٧ أغسطس ٢٠٢٤
معرّف المستند:217691

لغة خالية من التحيز

تسعى مجموعة الوثائق لهذا المنتج جاهدة لاستخدام لغة خالية من التحيز. لأغراض مجموعة الوثائق هذه، يتم تعريف "خالية من التحيز" على أنها لغة لا تعني التمييز على أساس العمر، والإعاقة، والجنس، والهوية العرقية، والهوية الإثنية، والتوجه الجنسي، والحالة الاجتماعية والاقتصادية، والتمييز متعدد الجوانب. قد تكون الاستثناءات موجودة في الوثائق بسبب اللغة التي يتم تشفيرها بشكل ثابت في واجهات المستخدم الخاصة ببرنامج المنتج، أو اللغة المستخدمة بناءً على وثائق RFP، أو اللغة التي يستخدمها منتج الجهة الخارجية المُشار إليه. تعرّف على المزيد حول كيفية استخدام Cisco للغة الشاملة.

حول هذه الترجمة

ترجمت Cisco هذا المستند باستخدام مجموعة من التقنيات الآلية والبشرية لتقديم محتوى دعم للمستخدمين في جميع أنحاء العالم بلغتهم الخاصة. يُرجى ملاحظة أن أفضل ترجمة آلية لن تكون دقيقة كما هو الحال مع الترجمة الاحترافية التي يقدمها مترجم محترف. تخلي Cisco Systems مسئوليتها عن دقة هذه الترجمات وتُوصي بالرجوع دائمًا إلى المستند الإنجليزي الأصلي (الرابط متوفر).

    المقدمة

    يصف هذا المستند إصلاح مشاكل انقسام الدماغ في الأزواج عالية التوفر من أجهزة الأمان المعدلة من Cisco لتجاوز الفشل أو الحماية من تهديد الطاقة النارية. 

    المتطلبات الأساسية

    المتطلبات

    cisco يوصي أن يتلقى أنت معرفة حول كيف ASA/FTD عالي التوفر زوج (تجاوز الفشل) يعمل - حول تجاوز الفشل.

    المكونات المستخدمة

    لا يقتصر هذا المستند على إصدارات برامج أو أجهزة معينة ويطبق على جميع عمليات نشر ASA/FTD المدعومة في تجاوز الفشل.

    تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.

    الاصطلاحات

    للحصول على مزيد من المعلومات حول اصطلاحات المستندات، ارجع إلى اصطلاحات تلميحات Cisco التقنية.

    ما هو انقسام الدماغ؟

    Split-brain هو سيناريو حيث تكون وحدات ASA/FTD HA غير قادرة على الكشف عن بعضها البعض على الشبكة ومن ثم تقوم كلتاهما بالدور النشط. وهذا يتسبب في أن يكون لكل من الوحدات نفس عنوان IP للواجهة وعنوان MAC ويمكن أن يتسبب في حالات عدم تناسق شديدة في شبكتك مما يؤدي إلى فقد الخدمات.

    لتحديد ما إذا كان HA في انقسام الدماغ، قم بتشغيل الأمر show حالة تجاوز الفشل على كلا الوحدتين وحدد ما إذا كان كلا المربعين نشطا.

    مثال لانقسام الدماغ

    الوحده الاساسيه:

    ciscoasa1/act/pri# show failover state

                   State          Last Failure Reason      Date/Time
    This host  -   Primary
                   Active         None
    Other host -   Secondary
                   Failed         Comm Failure             02:39:43 UTC Jan 10 2022

    ====Configuration State===
            Sync Done - STANDBY
    ====Communication State==

    الوحدة الثانوية:

    ciscoasa2/act/sec# show failover state

                   State          Last Failure Reason      Date/Time
    This host  -   Secondary
                   Active         None
    Other host -   Primary
                   Failed         Comm Failure             02:39:40 UTC Jan 10 2022

    ====Configuration State===
            Sync Done
            Sync Done - STANDBY
    ====Communication State==

    قد يؤدي انقسام الدماغ إلى انقطاع إذا لم يكن عنوان MAC الذي تم التعرف عليه لعناوين IP النشطة على الأجهزة المتصلة كلها من نفس الوحدات. على سبيل المثال، ضع في الاعتبار مخطط الشبكة:

    طوبولوجيا المعاملطوبولوجيا المعامل

    تم تعيين VMAC إلى الواجهة كما هو موضح. تم القيام بذلك لجعل جدول عناوين MAC سهل الفهم:

    Inside (G0/2)    : Active MAC    - 00c1.1000.aaaa 
                              Standby MAC - 00c1.1000.bbbb

    Outside (G0/4) : Active MAC    - 00c1.2000.aaaa

                              Standby MAC - 00c1.2000.bbbb

    ملاحظة: إذا لم يتم تكوين عناوين VMAC، فإن الجهاز النشط يأخذ دائما عناوين MAC لواجهة الوحدة الأساسية ويأخذ الاستعداد عنوان MAC الثانوي.

    جدول عناوين MAC على المحول عندما يكون HA سليما:

    Switch#show mac address-table

     Mac Address Table
    -------------------------------------------
    Vlan   Mac Address      Type        Ports
    ----   -----------      --------    -----
    100    00c1.1000.aaaa   DYNAMIC     Gi1/0/5
    100    00c1.1000.bbbb   DYNAMIC     Gi1/0/1
    300    00c1.64bc.c508   DYNAMIC     Gi1/0/4
    300    00d7.8f38.8424   DYNAMIC     Gi1/0/8
    200    00c1.2000.aaaa   DYNAMIC     Gi1/0/7
    200    00c1.2000.bbbb   DYNAMIC     Gi1/0/3

    وفى حالة فشل إرتباط تجاوز الفشل ، تبقى الوحدة النشطة نشطة ويبقى الاستعداد في وضع الاستعداد. عندما لا تتلقى الوحدة ثلاث رسائل HELLO متتالية على إرتباط تجاوز الفشل، ترسل الوحدة رسائل LANTEST على كل واجهة بيانات، بما في ذلك إرتباط تجاوز الفشل، للتحقق مما إذا كان النظير مستجيبا أم لا. والإجراء الذي يتخذه مكتب المساعدة الفنية يعتمد على الاستجابة من الوحدة الأخرى.

    الإجراءات المحتملة هي:

    • إذا تلقى ASA إستجابة على إرتباط تجاوز الفشل، فلا يمكن تجاوز الفشل.
    • إذا لم يستلم ASA إستجابة على إرتباط تجاوز الفشل، ولكنه يتلقى إستجابة على واجهة بيانات، ثم لا يتم تجاوز فشل الوحدة. تم وضع علامة "فشل" على إرتباط تجاوز الفشل. يمكنك إستعادة إرتباط تجاوز الفشل في أقرب وقت ممكن لأن الوحدة لا يمكنها تجاوز الفشل إلى وضع الاستعداد بينما إرتباط تجاوز الفشل معطل.
    • إذا لم يستلم ASA إستجابة على أي واجهة، فعندئذ تتحول الوحدة الاحتياطية إلى الوضع النشط وتصنف الوحدة الأخرى على أنها فاشلة. وهذا يؤدي إلى سيناريو انقسام الدماغ.

    في هذه المرحلة، تعمل جميع واجهات البيانات الموجودة على كل من جدران الحماية كما لو كانت الوحدة النشطة. لذلك، تستخدم الواجهات الموجودة على جدار الحماية النشط والاستعداد نفس عنوان IP و MAC. يؤدي هذا إلى جدول عناوين MAC غير متسق بسبب إدخال ARP السام وبالتالي يمكن أن يؤدي إلى انقطاع.

    ملاحظة: يعد إرتباط تجاوز الفشل مسؤولا عن نقل هذه البيانات بين زوج تجاوز الفشل: حالة الوحدة (نشطة/الاستعداد)، ورسائل الترحيب، وحالة إرتباط الشبكة، وتبادل عنوان MAC، والنسخ المتماثل للتكوين، والمزامنة.

    كيفية الاستعداد بشكل استباقي لمواجهة مشكلات تجاوز الفشل

    الاستعداد مسبقا لمواجهة حالة انقسام الدماغ:

    • كن على الإصدار الذهبي الموصى به من Cisco - في ظل ظروف معينة، يمكن أن يحدث انقسام الدماغ أيضا بسبب مشكلات مثل تسريب الذاكرة. تقلل الإصدارات الموصى بها من Cisco بشكل كبير من تعرضك لمثل هذه الحالات.
    • مخطط الشبكة - يوصى بأن يكون لواجهات البيانات وارتباطات تجاوز الفشل مسارات مختلفة لتقليل فرصة فشل جميع الواجهات في نفس الوقت.
    • أستخدم واجهة قناة المنفذ لواجهة تجاوز الفشل - إذا كان لديك واجهات غير مستخدمة على جدار الحماية الخاص بك، فعليك إقرانها لتكوين قناة منفذ واستخدامها كإرتباط تجاوز الفشل، وهذا يزيد من موثوقية الارتباط وإزالة نقطة فشل واحدة (SPOF).
    • تأكد من أن واجهة تجاوز الفشل ليس بها زمن انتقال كبير - وفقا لدليل تكوين ASA "للحصول على الأداء الأمثل عند إستخدام تجاوز الفشل لمسافات طويلة، يمكن أن يكون زمن انتقال إرتباط الحالة أقل من 10 مللي ثانية ولا يزيد عن 250 مللي ثانية. إذا كان زمن الوصول أكثر من 10 مللي ثانية، يحدث بعض التدهور في الأداء بسبب إعادة نقل رسائل تجاوز الفشل.
    • ضبط قيم مؤقت الاستقصاء/مؤقت الانتظار حسب عملية النشر الخاصة بك - لا يوجد نهج واحد يناسب كافة وحدات توقيت تجاوز الفشل. بشكل عام، عندما تقوم بتخفيض مؤقت، فإنه يمكن أن يؤدي إلى تجاوز الأعطال غير الضرورية (خاصة إذا كان هناك بعض التأخير)، كما أن القيمة العالية جدا يمكن أن تؤدي إلى زيادة الوقت لكي يحدث تجاوز الفشل. وهذا يؤدي إلى حدوث تجاوزات ملحوظة. يجب أن تكون قيمة مؤقت الاحتجاز قيمة مؤقت الاستطلاع 5x.
    • تكوين عنوان MAC ظاهري للواجهات - تحت شرط حيث "يتم تمهيد الوحدة الثانوية دون اكتشاف الوحدة الأساسية، ثم تصبح الوحدة الثانوية الوحدة النشطة وتستخدم عناوين MAC الخاصة بها لأنها لا تعرف عناوين MAC للوحدة الأساسية." عندما تصبح الوحدة الأساسية متوفرة، تقوم الوحدة الثانوية (النشطة) بتغيير عناوين MAC إلى عناوين الوحدة الأساسية، مما يمكن أن يتسبب في انقطاع في حركة مرور الشبكة. وبالمثل، إذا قمت بتبديل الوحدة الأساسية بمعدات جديدة، سيتم إستخدام عنوان MAC جديد.

      يتم حماية عناوين MAC الظاهرية من هذا التعطيل، نظرا لأن عناوين MAC النشطة معروفة للوحدة الثانوية عند بدء التشغيل، وتظل كما هي في حالة أجهزة الوحدة الأساسية الجديدة. إذا لم تقم بتكوين عناوين MAC الظاهرية، فأنت بحاجة إلى مسح جداول ARP على الموجهات المتصلة لاستعادة تدفق حركة المرور. لمزيد من التفاصيل، ارجع إلى - عناوين MAC وعناوين IP في تجاوز الفشل.

    • إرسال سجلات ASA/FTD الخاصة بكل من الوحدات إلى خادم syslog خارجي - هذه الخطوة أكثر ملاءمة للمشكلات.

    أسباب محتملة لانقسام الدماغ

    وكما ذكرنا سابقا، يحدث انقسام الدماغ عندما يكون الاتصال بين واجهات ربط تجاوز الفشل منخفضا (بشكل أحادي الإتجاه أو ثنائي الإتجاه). والأسباب الأكثر شيوعا هي:

    • مشاكل L1 - كابل معيب/SFP/الواجهة
    • مشكلة على جهاز متوسط
    • نقص الذاكرة أو موارد وحدة المعالجة المركزية على ASA/FTD

      ملاحظة: يستخدم محرك ASA/Lina كتل ذاكرة سعة 1550 بايت لتخزين الحزم لمعالجتها. إذا استنزف عدد الكتل الحرة لهذا الحجم ASA/FTD، فلن يعود بإمكان ITL معالجة حزم تجاوز الفشل. قم بتشغيل كتل العرض للتحقق من استنفاد الكتلة.

    إجراء أستكشاف الأخطاء وإصلاحها - المخطط الانسيابي

    لاستكشاف أخطاء سيناريو انقسام الدماغ وحلها، أستخدم هذا المخطط الانسيابي، ابدأ من المربع الذي يحمل علامة Main. هناك بعض المشاكل التي لا يمكن حلها هنا. في هذه الحالات، يتم توفير الارتباطات إلى دعم Cisco التقني. لفتح طلب خدمة، يجب أن يكون لديك عقد خدمة صالح.

    ملاحظة: في عمليات نشر برنامج الإرسال فائق السرعة (FTD)، اتبع الخطوات الواردة في هذا المخطط من خلال "تشخيصات دعم النظام-CLI".

    مخطط تدفق أستكشاف الأخطاء وإصلاحهامخطط تدفق أستكشاف الأخطاء وإصلاحها

    علاج طارئ من انقسام الدماغ

    لاسترداد الشبكة من انقسام الدماغ، تحتاج إلى التأكد من أن حركة المرور تصل إلى واحد فقط من إثنين من جدران الحماية، أي أن عناوين MAC التي تم التعرف عليها بالنسبة إلى عناوين IP النشطة تشير جميعها إلى وحدة واحدة. للقيام بذلك، يمكنك تعطيل تجاوز الأعطال على الوحدة أو قطعها عن الشبكة بالكامل.

    1. تعطيل تجاوز الفشل على الوحدة التي لا تقوم بتمرير حركة مرور البيانات:
      • على النظام الأساسي ASA، عبر CLI، انتقل إلى الوحدة الطرفية للتكوين وأدخل الأمر no failed over.
      • على نظام FTD الأساسي، عبر وضع CLISH، أدخل الأمر configure high-availability suspend.
    2. بالنسبة ل ASA، قم بإيقاف تشغيل واجهات البيانات. بالنسبة ل FTD، قم بإيقاف تشغيل الواجهات على الجهاز المتصل. بدلا من ذلك، يمكنك أيضا فصل الواجهات ماديا. يمكنك أيضا إيقاف تشغيل الجهاز، ولكن هذا يحد من إدارة الجهاز. ارجع إلى دليل تكوين الجهاز الخاص بك في الخطوات اللازمة للقيام بذلك.

    ملاحظة: إذا لاحظت مشاكل في الاتصال حتى بعد تنفيذ الخطوة (الخطوات) المذكورة، فمن المحتمل أن يكون للجهاز (الأجهزة) المتصل إدخالات ARP قديمة. تحقق من إدخالات ARP على أجهزة تدفق البيانات إلى الخادم الخادم الخادم الخادم الخادم الخادم الخادم. لإصلاح المشكلة، يمكنك إما مسح هذا أو إجبار ASA/FTD العامل على إرسال حزمة GARP لبروتوكول الإنترنت الخاص بالواجهة التي تحتوي على المشكلة. للقيام بذلك، قم بتشغيل الأمر في وضع التمكين (ل FTD في System يدعم التشخيص-cli) - قائمة تصحيح الأخطاء IPaddroutl 6 <interface ip address>.

    تحذير: في حالة فتح تذكرة دعم مع TAC للمشاكل المتعلقة بتقسيم الدماغ، يرجى مشاركة المعلومات المذكورة تحت بيانات القسم المطلوب تجميعها لطلب خدمة TAC في هذا المستند.

    البيانات التي ستتم مشاركتها مع TAC

    الرجاء مشاركة البيانات المذكورة في حالة الحاجة إلى فتح طلب خدمة TAC.

    1. مخطط مخطط مخطط يوضح ASA/FTD-HA واتصالاته المادية بالأجهزة المجاورة (بما في ذلك واجهات تجاوز الفشل).
    2. إخراج عرض الدعم الفني على ASA أو ملف أستكشاف الأخطاء وإصلاحها على الأنظمة الأساسية التي تعمل بنظام FTD.
    3. Syslog مع الطوابع الزمنية ل +/- 5 دقائق عند حدوث المشكلة.
    4. ملفات أستكشاف أخطاء FXOS وإصلاحها، إذا كان الجهاز جهاز FPR.

    لإنشاء ملفات أستكشاف الأخطاء وإصلاحها ل FTD أو FXOS، يرجى الرجوع إلى إجراءات إنشاء الملف لاستكشاف أخطاء FirePOWER وإصلاحها. فتح TAC SR.

    محفوظات المراجعة

    المراجعة تاريخ النشر التعليقات
    2.0
    07-Aug-2024
    اسم الكاتب المحدث. مقدمة مختصرة، تغيرت لتمثل تنسيقا متوترا وثابتا.
    1.0
    17-Feb-2022
    الإصدار الأولي
    TAC Authored

    تمت المساهمة بواسطة مهندسو Cisco

    • Medhavi Nagakumar
      Technical Consulting Engineer
    • Dabbiru Karishma
      Cisco TAC Engineer

    هل كان هذا المستند مفيدًا؟

    Feedbackالتعليقات

    اتصل بنا

    ينطبق هذا المستند على هذه المنتجات