Problemen met splitter/brein oplossen bij ASA failover

Downloadopties

  • PDF     (527.9 KB)
    Met Adobe Reader op diverse apparaten bekijken
Bijgewerkt:7 augustus 2024
Document-id:217691

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

    Inleiding

    Dit document beschrijft de oplossing van problemen met gesplitste hersenen in Cisco adaptieve security applicatie failover of Firepower Threat Defense hoge beschikbaarheid paren. 

    Voorwaarden

    Vereisten

    Cisco raadt u aan te weten hoe ASA/FTD High Availability pair (failover) werkt - over failover.

    Gebruikte componenten

    Dit document is niet beperkt tot specifieke software- of hardwareversies en is van toepassing op alle ondersteunde ASA/FTD-implementaties in failover.

    De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.

    Conventies

    Raadpleeg Cisco Technical Tips Conventions (Conventies voor technische tips van Cisco) voor meer informatie over documentconventies.

    Wat is Split-Brain?

    Split-brain is een scenario waarin de eenheden van een ASA/FTD HA elkaar niet kunnen detecteren op het netwerk en daardoor beide de actieve rol op zich nemen. Dit zorgt ervoor dat beide eenheden hetzelfde IP-interfaceadres en MAC-adres hebben en kan ernstige inconsistenties in uw netwerk veroorzaken, wat kan leiden tot verlies van services.

    Om te identificeren als uw HA in split-brain is, voer de opdracht failover status op zowel de eenheden tonen en controleer als beide dozen actief zijn.

    Een voorbeeld van een splitbrein

    primaire eenheid:

    ciscoasa1/act/pri# show failover state

                   State          Last Failure Reason      Date/Time
    This host  -   Primary
                   Active         None
    Other host -   Secondary
                   Failed         Comm Failure             02:39:43 UTC Jan 10 2022

    ====Configuration State===
            Sync Done - STANDBY
    ====Communication State==

    Secundaire eenheid:

    ciscoasa2/act/sec# show failover state

                   State          Last Failure Reason      Date/Time
    This host  -   Secondary
                   Active         None
    Other host -   Primary
                   Failed         Comm Failure             02:39:40 UTC Jan 10 2022

    ====Configuration State===
            Sync Done
            Sync Done - STANDBY
    ====Communication State==

    Split-brain kan een storing veroorzaken als het MAC-adres dat voor de actieve IP-adressen op de aangesloten apparaten is geleerd, niet alle dezelfde eenheden zijn. Neem bijvoorbeeld de netwerktopologie:

    LaboratoriumtopologieLaboratoriumtopologie

    VMAC's zijn toegewezen aan de interface zoals getoond. Dit is gedaan om de mac-adrestabel begrijpelijk te maken:

    Inside (G0/2)    : Active MAC    - 00c1.1000.aaaa 
                              Standby MAC - 00c1.1000.bbbb

    Outside (G0/4) : Active MAC    - 00c1.2000.aaaa

                              Standby MAC - 00c1.2000.bbbb

    Opmerking: Als VMAC's niet zijn geconfigureerd, neemt het actieve apparaat altijd de MAC voor de primaire unit-interface en stand-by neemt de secundaire MAC.

    MAC-adrestabel op Switch wanneer HA gezond is:

    Switch#show mac address-table

     Mac Address Table
    -------------------------------------------
    Vlan   Mac Address      Type        Ports
    ----   -----------      --------    -----
    100    00c1.1000.aaaa   DYNAMIC     Gi1/0/5
    100    00c1.1000.bbbb   DYNAMIC     Gi1/0/1
    300    00c1.64bc.c508   DYNAMIC     Gi1/0/4
    300    00d7.8f38.8424   DYNAMIC     Gi1/0/8
    200    00c1.2000.aaaa   DYNAMIC     Gi1/0/7
    200    00c1.2000.bbbb   DYNAMIC     Gi1/0/3

    Als de failover-link uitvalt, blijft de actieve unit actief en blijft de stand-by stand-by staan. Wanneer een unit niet drie opeenvolgende HELLO-berichten ontvangt op de failover-link, stuurt de unit LANTEST-berichten op elke gegevensinterface, inclusief de failover-link, om te controleren of de peer al dan niet reageert. De actie die de ASA onderneemt, is afhankelijk van de respons van de andere eenheid.

    Mogelijke acties zijn:

    • Als de ASA een antwoord ontvangt op de failover link, dan is het geen failover.
    • Als de ASA geen antwoord ontvangt op de failover-link, maar wel een antwoord ontvangt op een data-interface, dan is de unit niet failover. De failover link is gemarkeerd als mislukt. U kunt de failover link zo snel mogelijk herstellen omdat de unit niet kan failover naar stand-by als de failover link is uitgeschakeld.
    • Als de ASA op geen enkele interface een respons ontvangt, switch de standby-unit naar de actieve modus en classificeert de andere unit als mislukt. Dit leidt tot een split-brain scenario.

    In dit stadium doen alle gegevensinterfaces op beide firewalls alsof ze de actieve eenheid zijn. Interfaces op de actieve en stand-by firewall gebruiken dus hetzelfde IP- en MAC-adres. Dit leidt tot een inconsistente MAC-adrestabel als gevolg van vergiftiging arp ingang en kan dus een stroomonderbreking veroorzaken.

    Opmerking: de failover-link is verantwoordelijk voor de communicatie van deze gegevens tussen het failover-paar: Eenheidsstatus (active/stand-by), Hello-berichten, Network Link-status, MAC-adresuitwisseling, Config-replicatie en Sync.

    Hoe u proactief kunt voorbereiden op failover-problemen

    Proactief voorbereiden op een gespleten-hersenaandoening:

    • Wees op de door Cisco aanbevolen Golden Release - Onder bepaalde omstandigheden kunnen split-brain ook veroorzaakt worden door problemen als een geheugenlek. Door Cisco aanbevolen releases wordt uw blootstelling aan dergelijke situaties aanzienlijk beperkt.
    • Netwerktopologie - aanbevolen wordt dat de data-interfaces en de failover-koppelingen verschillende paden hebben om de kans te verkleinen dat alle interfaces op hetzelfde moment falen.
    • Gebruik een poort-kanaal interface voor de failover interface - Als u ongebruikte interfaces op uw firewall hebt, koppel ze om een poort-kanaal te vormen en gebruik het als de failover link, dit verhoogt de link betrouwbaarheid en verwijder een Single Point of Failure (SPOF).
    • Zorg ervoor dat de failover-interface niet te veel latentie heeft - In overeenstemming met de ASA Config Guide "Voor optimale prestaties bij gebruik van failover op lange afstand kan de latentie voor de state link minder dan 10 milliseconden en niet meer dan 250 milliseconden bedragen. Als de latentie meer dan 10 milliseconden is, komt één of andere prestatiesdegradatie wegens wederuitzending van failoverberichten voor."
    • Pas Poll Timer/Hold Timer waarden aan volgens uw implementatie - Er is geen one size fits all aanpak van failover timers. Over het algemeen, wanneer u een timer laag, kan het onnodige failovers (vooral als er wat latentie is) veroorzaken, en een te hoge waarde kan tot verhoogde tijd voor een failover leiden om voor te komen. Dit leidt tot merkbare failovers. De waarde van de Timer van de greep moet 5x de waarde van de Timer van de Opiniepeiling zijn.
    • Een virtueel MAC-adres voor interfaces configureren - Onder een voorwaarde waarin "de secundaire eenheid opstart zonder de primaire eenheid te detecteren, wordt de secundaire eenheid de actieve eenheid en gebruikt zij haar eigen MAC-adressen omdat zij de primaire MAC-adressen van de eenheid niet kent. Wanneer de primaire eenheid beschikbaar komt, verandert de secundaire (actieve) eenheid de MAC-adressen in die van de primaire eenheid, wat een onderbreking in uw netwerkverkeer kan veroorzaken. Op dezelfde manier, als u de primaire eenheid met nieuwe hardware ruilt, wordt een nieuw adres van MAC gebruikt."

      Virtuele MAC-adressen beschermen tegen deze verstoring, omdat de actieve MAC-adressen bij het opstarten bekend zijn bij de secundaire unit en dezelfde blijven in het geval van nieuwe primaire unit-hardware. Als u geen virtuele MAC-adressen configureert, moet u de ARP-tabellen op verbonden routers wissen om de verkeersstroom te herstellen". Raadpleeg - MAC-adressen en IP-adressen in failover voor meer informatie.

    • Verzend ASA/FTD Logs voor beide eenheden naar een externe Syslog-server - Deze stap is meer voor de onderhoudbaarheid van problemen.

    Mogelijke redenen voor Split-Brain

    Zoals reeds vermeld, komen de spleet-hersenen voor wanneer de communicatie tussen de interfaces van de failoververbinding neer is (unidirectioneel of bidirectioneel). De meest voorkomende redenen zijn:

    • L1 Problemen - Defecte kabel/SFP/interface
    • Een probleem met een tussenvoorziening
    • Gebrek aan geheugen of CPU-bronnen op ASA/FTD

      Opmerking: de ASA/Lina Engine gebruikt geheugenblokken van 1550 bytes om pakketten op te slaan voor verwerking. Als het aantal vrije blokken van deze grootte de ASA/FTD uitput, kan het niet langer failover pakketten verwerken. Draai de showblokken om te controleren op blokdepletie.

    Procedure voor probleemoplossing - Stroomschema

    Om problemen op te lossen en een split-brain Scenario op te lossen, gebruik dit stroomschema, begin bij het vakje gemarkeerd Main. Er zijn enkele problemen die hier niet kunnen worden opgelost. In deze gevallen worden links naar Cisco Technical Support geleverd. U moet een geldig servicecontract hebben om een serviceaanvraag te kunnen openen.

    Opmerking: Volg bij FTD-implementaties de stappen in dit diagram van "System support diagnostics-cloud".

    Flow-diagram voor probleemoplossingFlow-diagram voor probleemoplossing

    Noodherstel van Split-Brain

    Om uw netwerk te herstellen van een split-brain, moet u ervoor zorgen dat het verkeer slechts een van de twee firewalls raakt; dat wil zeggen, de MAC-adressen die voor de actieve IP's zijn geleerd, wijzen allemaal naar één eenheid. Hiervoor kunt u failover op de unit uitschakelen of het geheel van het netwerk afsluiten.

    1. Uitvalbeveiliging op de eenheid uitschakelen bij niet-passerend verkeer:
      • Op ASA Platform, over CLI, navigeer naar de configuratie-terminal en voer geen failover-opdracht in.
      • Voer op het FTD-platform, via de Clish-modus, de opdracht High-Availability schorsen in.
    2. Sluit voor ASA de gegevensinterfaces. Schakel voor FTD de interfaces van het aangesloten apparaat uit. U kunt ook de interfaces fysiek loskoppelen. Ook kunt u het apparaat uitzetten, maar dit beperkt u van het beheer van het apparaat. Raadpleeg de handleiding bij uw apparaatconfiguratie voor de stappen om dit te doen.

    Opmerking: als u connectiviteitsproblemen opmerkt, zelfs nadat u de genoemde stap(en) hebt uitgevoerd, is het waarschijnlijk dat de aangesloten apparaten verbale arp-ingangen hebben. Controleer arp vermeldingen op stroomopwaarts en stroomafwaarts gelegen apparaten. Om het probleem op te lossen kunt u deze ofwel doorspoelen of de werkende ASA/FTD dwingen om een garp pakket te verzenden voor de interface IP die het probleem heeft. Om dit te doen, voer de opdracht in de activeringsmodus (voor FTD in System support diagnostics-cloud) - debug menu ipaddrutl 6 <interface-ip-adres>.

    Waarschuwing: als u een ondersteuningsticket met TAC opent voor problemen die te maken hebben met de splitsen van hersenen, deel dan de informatie die wordt vermeld in de sectie Gegevens die moeten worden verzameld voor TAC-serviceaanvraag in dit document.

    Gegevens die moeten worden gedeeld met TAC

    Gelieve te delen genoemde gegevens voor het geval dat u een TAC-serviceaanvraag moet openen.

    1. Topologiediagram dat ASA/FTD-HA en zijn fysieke verbindingen met naburige apparaten (inclusief failover-interfaces) toont.
    2. Uitvoer voor show tech-support op ASA of Problemen oplossen Bestand op platforms waarop FTD wordt uitgevoerd.
    3. Syslogs samen met tijdstempels voor +/- 5 minuten toen het probleem voorkwam.
    4. FXOS-bestanden voor probleemoplossing, als de hardware een FPR-applicatie is.

    Raadpleeg de procedures voor het genereren van bestanden voor Firepower Troubleshoot voor het genereren van problemen met FTD of FXOS. Open een TAC SR.

    Revisiegeschiedenis

    Revisie Publicatiedatum Opmerkingen
    2.0
    07-Aug-2024
    Bijgewerkt schrijversnaam. Verkorte intro, veranderd in huidige gespannen, vaste opmaak.
    1.0
    17-Feb-2022
    Eerste vrijgave
    TAC Authored

    Bijgedragen door Cisco-engineers

    • Medhavi Nagakumar
      Technisch adviseur-engineer
    • Dabbiru Karishma
      Cisco TAC Engineer

    Was dit document nuttig?

    FeedbackFeedback

    Contact Cisco

    Dit document is van toepassing op deze producten