情景模式准则

仅支持单情景模式。不支持多情景模式。

通过故障切换实现高可用性准则

对于故障切换部署，请确保备用设备具有相同型号的许可证；例如，两台设备均应为 ASAv30。

重要	使用 ASAv 创建高可用性对时，需要按相同顺序将数据接口添加到每个 ASAv。如果将完全相同的接口添加到每个 ASAv，但顺序不同，ASAv 控制台上可能会显示错误。故障切换功能可能也会受到影响。

不支持的 ASA 功能

ASAv 不支持以下 ASA 功能：

• 群集

• 多情景模式

• 主用/主用故障切换

• EtherChannel

• 共享 AnyConnect 高级许可证

性能准则

• 支持每秒 8000 个连接、最多 25 个 VLAN、50,000 个并行会话和 50 个 VPN 会话。

• 从 9.5(1.200) 开始，AVAv5 的内存要求降低为 1GB。但是，系统不支持将 ASAv5 的可用内存从 2GB 降级至 1GB。要以 1 GB 内存运行，必须使用版本 9.5(1.200) 或更高版本重新部署 ASAv5 VM。同样，如果尝试降级到低于 9.5(1.200) 的版本，则必须将内存增加至 2 GB。

• 在某些情况下，ASAv5 可能会遇到内存耗尽。在资源繁重的某些应用中可能会出现这种情况，例如启用 AnyConnect 或下载文件时。内存耗尽的症状包括出现有关自发重启的控制台消息或有关内存使用率的严重级别系统日志。在这些情况下，您可以将 ASAv5 部署到具备 1.5 GB 内存的 VM 中。要从 1GB 更改为 1.5 GB，请关闭 VM 电源、修改内存，然后重新打开该 VM。

• 在达到 100 Mbps 的阈值之后不久，ASAv5 将开始丢弃数据包（存在一些空余空间，以便您可以获得完整的 100 Mbps）。ASAv5 适用于要求内存占用较少且吞吐量较小的用户，使用户可以部署大量 ASAv5，而无需使用不必要的内存。

限制

• 巨帧不受支持。

• 不支持 Amazon Web 服务 (AWS)。

性能准则

• 在配置了 9 个或更多 e1000 接口的 ASAv10 上，巨帧预留可能会导致设备重新加载。如果启用巨帧预留，请将接口数量减到 8 个或更少。接口的确切数量取决于已配置的其他功能正常工作所需的内存，可以少于 8 个。

性能准则

• 支持 10Gbps 的汇聚流量。

• 仅支持 ESXi 和 KVM。

• 建议通过 CPU 固定来实现完整的吞吐量速率；请参阅提高 ESXi 配置的性能和提高 KVM 配置的性能。

• 支持自动 ASP 负载均衡；请参阅“ASAv 自动负载均衡”，第 79 页。

• 提供对 SR-IOV 接口的 ixgbe-vf 和 i40e-vf vNIC 支持；请参阅 ASAv 和 SR-IOV 接口调配。

• 混合使用 e1000 和 i40e-vf 接口的巨帧预留可能会导致 i40e-vf 接口保持关闭。如果启用巨帧预留，请不要混合使用 e1000 和 i40e-vf 驱动程序的接口类型。

限制

• 不支持透明模式。

• 不支持 Amazon Web 服务 (AWS)、Microsoft Azure 和 Hyper-V。

• 此版本不支持 ixgbe NIC。

ASAv 包括以下千兆以太网接口：

• Management 0/0

  对于 AWS 和 Azure，Management 0/0 可以是传输流量的“外部”接口。

• GigabitEthernet 0/0 到 0/8。请注意，如果将 ASAv 部署为故障切换对的成员，则 GigabitEthernet 0/8 将用于故障切换链路。

• ASAv50 上的 TenGigabitEthernet 0/0 到 0/8。请注意，如果将 ASAv50 部署为故障切换对的成员，则 TenGigabitEthernet 0/8 将用于故障切换链路。

• Hyper-V 最多支持八个接口。Management 0/0 和 GigabitEthernet 0/0 至 0/6。您可以将 GigabitEthernet 0/6 用作故障切换链路。

ASAv 支持以下 vNIC：

根据规模和使用要求，用于 ASAv 部署的具体硬件可能不尽相同。ASAv 的许可说明了与不同 ASAv 平台的许可证授权相匹配的合规资源方案。此外，SR-IOV 虚拟功能还需要特定的系统资源。

主机操作系统和虚拟机监控程序支持

SR-IOV 支持和 VF 驱动程序可用于：

• Linux 2.6.30 内核或更高版本

以下虚拟机管理程序目前支持带 SR-IOV 接口的 ASAv：

• VMware vSphere/ESXi

• QEMU/KVM

• AWS

硬件平台支持

本节介绍 SR-IOV 接口的硬件准则。尽管这些只是准则而不是要求，但使用不符合这些准则的硬件可能会导致功能问题或性能不佳。

需要一台支持 SR-IOV 并配备了支持 SR-IOV 的 PCIe 适配器的服务器。您必须了解以下硬件注意事项：

• 不同供应商和设备的 SR-IOV NIC 功能有所不同，包括可用的 VF 数量。

• 并非所有 PCIe 插槽都支持 SR-IOV。

• 支持 SR-IOV 的 PCIe 插槽可能具有不同的功能。

  注	请查阅制造商的文档，以了解系统对 SR-IOV 的支持情况。

• 对于启用 VT-d 的芯片组、主板和 CPU，可以从“支持虚拟化功能的 IOMMU 支持硬件”页面中查找相关信息。VT-d 是 SR-IOV 系统所需的 BIOS 设置。

• 对于 VMware，可以搜索兼容性指南以启用 SR-IOV 支持。

• 对于 KVM，可以验证 CPU 兼容性。请注意，对于 KVM 上的 ASAv，我们仅支持 x86 硬件。

  注	我们使用思科 UCS C 系列机架服务器对 ASAv 进行了测试。请注意，思科 UCS-B 服务器不支持 ixgbe-vf vNIC。

SR-IOV 支持的 NIC

• Intel 以太网服务器适配器 X520 - DA2

• Intel 以太网服务器适配器 X540

CPU

• X86_64 多核 CPU

  Intel 沙桥或更高版本（推荐）

  注	我们在 Intel 的 Broadwell CPU (E5-2699-v4) 上以 2.3Ghz 的频率对 ASAv 进行了测试。

• 核心

  • 每个 CPU 插槽至少 8 个物理核心

  • 8 个核心必须位于一个插槽中。

  注	建议在 ASAv50 上通过 CPU 固定功能来实现最高吞吐量速率；请参阅提高 ESXi 配置的性能和提高 KVM 配置的性能。

BIOS 设置

SR-IOV 需要 BIOS 以及硬件上运行的操作系统实例或虚拟机监控程序方面的支持。检查系统 BIOS 中的以下设置：

• 已启用 SR-IOV

• 已启用 VT-x（虚拟化技术）

• 已启用 VT-d

• （可选）已禁用超线程

我们建议您通过供应商文档验证该过程，因为不同的系统使用不同的方法来访问和更改 BIOS 设置。

限制

使用 ixgbe-vf 接口时，请注意以下限制：

• 禁止访客 VM 将 VF 设置为混合模式。因此，使用 ixgbe-vf 时不支持透明模式。

• 禁止访客 VM 在 VF 上设置 MAC 地址。因此，在 HA 期间不会像在其他 ASA 平台上和使用其他接口类型那样传输 MAC 地址。HA 故障切换通过从主用设备向备用设备传送 IP 地址的方式运行。

• 思科 UCS-B 服务器不支持 ixgbe-vf vNIC。