فهم مزامنة جدول MAC عالي التوفر ل ASA على الوضع الشفاف باستخدام موجهات HSRP

المقدمة

يصف هذا المستند سلوك زوج ASA المتصل بمجموعة من الموجهات التي تستخدم HSRP.

المتطلبات الأساسية

• أجهزة الأمان المعدلة (ASA)
• الإتاحة العالية ASA.
• بروتوكول الموجه الاحتياطي الفعال (HSRP).
• جدار الحماية في الوضع الشفاف. 

المكونات المستخدمة

• موجهات CSR مع HSRP.
• 2 ASA مكون في HA الذي يشير إلى زوج HSRP.

تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.

معلومات أساسية

لزوج من ASA تم تكوينه في وضع شفاف عالي التوفر، إذا كان زوج جدران الحماية عبارة عن تحميل متصل بمجموعة من الموجهات وتلك الموجهات المجاورة تستخدم HSRP، فإن حركة مرور البيانات من جدران الحماية تؤدي إلى عنوان IP للموجه الذي يشير أيضا إلى عنوان MAC الخاص بموجه معين. ومع ذلك، إذا تم الحصول على حركة المرور العائدة من عنوان MAC الخاص بواجهة موجه أخرى في زوج HSRP، فإنها يمكن أن تتسبب في انقطاع الشبكة. 

المشكلة أن {upper}mac address table age timeout هو 5 دقيقة (300 ثاني)، والعنوان تحليل بروتوكول (ARP) مهلة 14400 ثاني افتراضيا. لأن موجه الخطوة التالية يستخدم HSRP، لا يوجد أبدا أي حركة مرور مصدرة من عنوان MAC ل HSRP. إن يقع هذا، ال mac عنوان طاولة مدخل على ال ASA ينتهي وحركة مرور يفشل.

الرسم التخطيطي للشبكة

استكشاف الأخطاء وإصلاحها

فهم مزامنة جدول MAC ل ASA HA في الوضع الشفاف باستخدام HSRP

تظهر هذه المخرجات كيف تقوم وحدات ASA بمزامنة جدول MAC الخاص بها عندما تتعلم الوحدة النشطة الإدخالات الجديدة وتحذف الإدخالات القديمة. 

تفقد الوحدة النشطة asav-1 5254.0017.8a8c عنوان MAC من أحد موجهات HSRP، في هذه الحالة، CSR1000v-0. 

ASAv-primary# show mac-address-table
interface mac address type Age(min) bridge-group
----------------------------------------------------------------------------------------------------
outside 5254.0017.8a8c dynamic 1 1
inside 5254.001f.dfa8 dynamic 1 1
outside 5254.0008.7242 dynamic 5 1
outside 0000.0c07.ac01 dynamic 5 1

يمكنك أن ترى كيف يختفي 5254.0017.8a8c بعد 5 دقائق.

ASAv-primary# show mac-address-table
interface mac address type Age(min) bridge-group
----------------------------------------------------------------------------------------------------
outside 5254.0008.7242 dynamic 5 1
outside 0000.0c07.ac01 dynamic 5 1

لا تفقد الوحدة الاحتياطية إدخال MAC 5254.0017.8a8c. ومن المتوقع تماما أن يتسبب هذا السلوك في حدوث إرتباك.

لا تقوم الوحدة الاحتياطية بتحديث جدول عناوين MAC ما لم تصبح الوحدة النشطة الجديدة.

وتحتفظ الوحدة الاحتياطية ب 5254.0017.8a8c بعد عدة ساعات وتظل عند دقيقة واحدة (1) من العمر طوال الوقت.

ASAv-secondary(config)# show mac-address-table
interface mac address type Age(min) bridge-group
----------------------------------------------------------------------------------------------------
outside 5254.0017.8a8c dynamic 1 1
outside 5254.0008.7242 dynamic 5 1
outside 0000.0c07.ac01 dynamic 5 1

يمكنك الانتظار لساعات/أيام وتشغيل الأمر نفسه ورؤية النتيجة نفسها.

ASAv-secondary(config)# show mac-address-table
interface mac address type Age(min) bridge-group
----------------------------------------------------------------------------------------------------
outside 5254.0017.8a8c dynamic 1 1
outside 5254.0008.7242 dynamic 5 1
outside 0000.0c07.ac01 dynamic 5 1

علاوة على ذلك، إذا قمت بإصدار show failover الأمر، لا توجد تغييرات على عداد L2BRIDGE TBL عندما تفقد الوحدة النشطة إدخال HSRP.

Stateful Failover Logical Update Statistics
Link : failoverlink GigabitEthernet0/3 (up)
Stateful Obj xmit xerr rcv rerr
General 86751 0 77968 8
sys cmd 77854 0 77853 0
up time 0 0 0 0
RPC services 0 0 0 0
<--- More --->

TCP conn 0 0 0 0
UDP conn 8882 0 90 0
ARP tbl 4 0 1 0
L2BRIDGE Tbl 3 0 22 0
Xlate_Timeout 0 0 0 0
IPv6 ND tbl 0 0 0 0
SIP Session 0 0 0 0
SIP Tx 0 0 0 0
SIP Pinhole 0 0 0 0
Route Session 8 0 0 8

انتهت صلاحية إدخال جدول عناوين MAC بسبب التوجيه غير المتماثل

عندما تتدفق حركة المرور مباشرة بين عنواني MAC من خلال جدار الحماية الشفاف، فإن تلك العناوين لا تخرج بينما تتدفق حركة المرور لأن ال ASA يستلم إطارات مصدرة من إثنين من عناوين MAC التي ترسل حركة المرور.

عندما يكون تدفق حركة المرور غير متماثل مع مهلة الإدخال في حالة عدم تلقي ASA إستجابة من عنوان MAC المحدد هذا.

ملاحظة: يعني التوجيه غير المتماثل أن ASA يرى حركة مرور معد ل إلى عنوان MAC محدد، ولكن ليس حركة مرور مصدرة من نفس عنوان MAC هذا

أعراض هذه المشكلة هي أنه بعد أن ينتهي ASA من إدخال عنوان MAC (بعد 5 دقائق من عدم وجود حركة مرور مصدرها من عنوان MAC هذا)، يتم إسقاط حركة المرور الموجهة إلى عنوان MAC هذا حتى يتم ملء إدخال MAC مرة أخرى.

عادة، تظهر المشكلة نفسها عندما تظهر أن الاتصال بخادم يتم إعادة إنشاؤه بعد محاولة أو محاولتين، وهذا لأن الحزمة الأولى يتم إسقاطها حتى يمكن أن يمر ASA بالخطوات لمعرفة موقع عنوان MAC.

الحل المقترح

لحل هذه المشكلة، قم بإضافة جدول إدخال عنوان MAC ثابت ل HSRP IP على جدار الحماية، أو قم بزيادة الوقت العمري إلى قيمة ما بحيث يأتي رد ARP من موجه HSRP المطابق قبل انتهاء مهلة الإدخال.

الحل الأفضل هو إضافة إدخال MAC ثابت لأنه غير متأكد من أن ASA يستلم رد ARP من موجه HSRP النشط.

معلومات ذات صلة

• الدعم التقني والمستندات - Cisco Systems