关于 ASA 虚拟 集群
本节介绍集群架构及其工作原理。
集群如何融入网络中
集群包含多台防火墙,作为单一设备工作。要用作集群,该防火墙需要以下基础设施:
-
独立的网络(称为集群控制链路),通过 VXLAN 接口用于集群内的通信。VXLAN 充当第 3 层物理网络上的第 2 层虚拟网络,让 ASA 虚拟 能够通过集群控制链路发送广播/组播消息。
-
对每台防火墙的管理访问权限,用于进行配置和监控。ASA 虚拟 部署包括用于管理集群节点的 Management 0/0 接口。
将集群接入网络中时,上游和下游路由器需要能够使用第 3 层单独接口和以下方法之一使出入集群的数据实现负载均衡:
-
策略型路由 - 上游和下游路由器使用路由映射和 ACL 在节点之间执行负载均衡。
-
等价多路径路由 - 上游和下游路由器使用等价静态或动态路由在节点之间执行负载均衡。
注 |
不支持第 2 层跨区以太网通道。 |
集群节点
集群节点协调工作来实现安全策略和流量的共享。本节介绍每种节点角色的性质。
引导程序配置
您要在每台设备上配置最低的引导程序配置,包括集群名称、集群控制链路接口和其他集群设置。启用集群的第一个节点通常成为控制节点。在后续节点上启用集群时,这些设备将作为数据节点加入集群。
控制和数据节点角色
一个集群成员是控制节点。如果多个集群节点同时上线,则控制节点由引导程序配置中的优先级设置决定;优先级可设置为 1 到 100,其中 1 为最高优先级。所有其他成员都是数据节点。 通常,当您首次创建集群时,您添加的第一个节点会成为控制节点,因为它是到目前为止集群中的唯一节点。
必须只能在控制节点上执行所有配置(引导程序配置除外);然后配置将被复制到数据节点中。如果是接口等物理资产,控制节点的配置将被镜像到所有数据节点。例如,如果将以太网接口 1/2 配置为内部接口,将以太网接口 1/1 配置为外部接口,则这些接口也将在数据节点上用作内部和外部接口。
有些功能在集群中无法扩展,控制节点将处理这些功能的所有流量。
单个接口
独立接口是正常的路由接口,每个接口都有自己的本地 IP 地址。由于接口配置只能在控制节点上配置,因此您可以通过接口配置设置一个 IP 地址池,供集群节点上的给定接口(包括控制节点上的一个接口)使用。集群的主集群 IP 地址是集群的固定地址,始终属于当前的控制节点。本地 IP 地址始终是路由的控制节点地址。主集群 IP 地址提供对地址的统一管理访问;当控制节点更改时,主集群 IP 地址将转移到新的控制节点,使集群的管理得以无缝继续。不过,在此情况下必须在上游交换机上分别配置负载均衡。
注 |
不支持第 2 层跨区以太网通道。 |
基于策略的路由
使用独立接口时,每个 ASA 接口都会保留自己的 IP 地址和 MAC 地址。基于策略的路由 (PBR) 是一种负载均衡方法。
如果已经在使用 PBR 并希望充分利用现有的基础设施,我们建议使用此方法。
PBR 根据路由映射和 ACL 作出路由决定。您必须在集群中的所有 ASA 之间手动划分流量。由于 PBR 是静态路由,因此可能有时候无法实现最佳的负载均衡效果。为了获得最佳性能,建议您配置 PBR 策略,以便连接的转发数据包和返回数据包定向到同一个 ASA。例如,如果您有一台思科路由器,使用带对象跟踪的思科 IOS PBR 即可实现冗余。思科 IOS 对象跟踪使用 ICMP ping 监控每台 ASA。然后,PBR 可根据特定 ASA 的可访问性来启用或禁用路由映射。有关详细信息,请参阅以下 URL:
http://www.cisco.com/en/US/products/ps6599/products_white_paper09186a00800a4409.shtml
同等成本的多路径路由
使用独立接口时,每个 ASA 接口都会保留自己的 IP 地址和 MAC 地址。等价多路径 (ECMP) 路由是一种负载均衡方法。
如果已经在使用 ECMP 并希望充分利用现有的基础设施,我们建议使用此方法。
ECMP 路由可以通过路由指标并列最优的多条“最佳路径”转发数据包。它与 EtherChannel 一样,也可以使用源和目标 IP 地址及/或源和目标端口的散列值将数据包发送到下一跃点。如果将静态路由用于 ECMP 路由,则 ASA 故障会导致问题;如果继续使用该路由,发往故障 ASA 的流量将丢失。因此,如果使用静态路由,请务必要使用静态路由监控功能,例如对象跟踪。我们还建议使用动态路由协议来添加和删除路由,在这种情况下,您必须配置每台 ASA 使之加入动态路由。
集群控制链路
每个节点必须将一个接口作为集群控制链路的 VXLAN (VTEP) 接口。 有关 VXLAN 的详细信息,请参阅VXLAN 接口。
VXLAN 隧道端点
VXLAN 隧道终端 (VTEP) 设备执行 VXLAN 封装和解封。每个 VTEP 有两种接口类型:一个或多个虚拟接口称为 VXLAN 网络标识符 (VNI) 接口;以及称为 VTEP 源接口的常规接口,用于为 VTEP 之间的 VNI 接口建立隧道。VTEP 源接口连接到传输 IP 网络,进行 VTEP 至 VTEP 通信。
VTEP 源接口
VTEP 源接口是一个计划要将其与 VNI 接口相关联的常规ASA 虚拟 接口。您可以将一个 VTEP 源接口配置为集群控制链路。源接口会被保留,以便仅供集群控制链路使用。每个 VTEP 源接口在同一子网上都有一个 IP 地址。此子网应与所有其他流量隔离,并且只包括集群控制链路接口。
VNI 接口
VNI 接口类似于 VLAN 接口:它是一个虚拟接口,通过使用标记,实现网络流量在给定物理接口上的分离。您只能配置一个 VNI 接口。每个 VNI 接口在同一子网上都有一个 IP 地址。
对等体 VTEP
与数据接口的常规 VXLAN 只允许单个 VTEP 对等体不同,ASA 虚拟 集群允许您配置多个对等体。
集群控制链路流量概述
集群控制链路流量包括控制流量和数据流量。
控制流量包括:
-
控制节点选举。
-
配置复制。
-
运行状况监控。
数据流量包括:
-
状态复制。
-
连接所有权查询和数据包转发。
集群控制链路故障
如果某台设备的集群控制链路线路协议关闭,则集群将被禁用;数据接口关闭。当您修复集群控制链路之后,必须通过重新启用集群来手动重新加入集群。
注 |
当 ASA 虚拟 处于非活动状态时,所有数据接口关闭;只有管理专用接口可以发送和接收流量。管理接口将保持打开,使用设备从 DHCP 或集群 IP 池接收的 IP 地址。如果使用集群 IP池,在重新加载而设备在集群中仍然处于非活动状态时,则管理接口将无法访问(因为它届时将使用与控制节点相同的主 IP 地址)。您必须使用控制台端口(如果可用)来进行任何进一步配置。 |
配置复制
集群中的所有节点共享一个配置。您只能在控制节点上进行配置更改(引导程序配置除外),这些更改会自动同步到集群中的所有其他节点。
ASA 虚拟集群管理
使用 ASA 虚拟集群的一个好处可以简化管理。本节介绍如何管理集群。
管理网络
我们建议将所有节点都连接到一个管理网络。此网络与集群控制链路分隔开来。
管理接口
使用 Management 0/0 接口进行管理。
注 |
您不能为管理接口启用动态路由。您必须使用静态路由。 |
您可以使用静态寻址或 DHCP 作为管理 IP 地址。
如果您使用静态寻址,则可以使用集群的主集群 IP 地址是集群的固定地址,而该集群始终属于当前的控制节点。您还要为每个接口配置一个地址范围,以便包括当前控制节点在内的每个节点都可以使用该范围内的本地地址。主集群 IP 地址提供对地址的统一管理访问;当控制节点更改时,主集群 IP 地址将转移到新的控制节点,使集群的管理得以无缝继续。本地 IP 地址用于路由,在排除故障时也非常有用。例如,您可以连接到主集群 IP 地址来管理集群,该地址始终属于当前的控制节点。要管理单个成员,您可以连接到本地 IP 地址。对于 TFTP 或系统日志等出站管理流量,包括控制节点在内的每个节点都使用本地 IP 地址连接到服务器。
如果使用 DHCP,则不使用本地地址池或主集群 IP 地址。
控制节点管理与数据节点管理
所有管理和监控均可在控制节点上进行。从控制节点中,您可以检查所有节点的运行时统计信息、资源使用情况或其他监控信息。您也可以向集群中的所有节点发出命令,并将控制台消息从数据节点复制到控制节点。
如果需要,您可以直接监控数据节点。虽然在控制节点上可以执行文件管理,但在数据节点上也可以如此(包括备份配置和更新映像)。以下功能在控制节点上不可用:
-
监控每个节点的集群特定统计信息。
-
监控每个节点的系统日志(控制台复制启用时发送至控制台的系统日志除外)。
-
SNMP
-
NetFlow
加密密钥复制
当您在控制节点上创建加密密钥时,该密钥将复制到所有数据节点。如果您有连接到主集群 IP 地址的 SSH 会话,则控制节点发生故障时连接将断开。新控制节点对 SSH 连接使用相同的密钥,这样当您重新连接到新的控制节点时,无需更新缓存的 SSH 主机密钥。
ASDM 连接证书 IP 地址不匹配
默认情况下,ASDM 连接将根据本地 IP 地址使用自签名证书。如果使用 ASDM 连接到主集群 IP 地址,则可能会因证书使用的是本地 IP 地址而不是主集群 IP 地址,系统会显示一则警告消息,指出 IP 地址不匹配。您可以忽略该消息并建立 ASDM 连接。但是,为了避免此类警告,您也可以注册一个包含主集群 IP 地址和 IP 地址池中所有本地 IP 地址的证书。然后,您可将此证书用于每个集群成员。有关详细信息,请参阅 https://www.cisco.com/c/en/us/td/docs/security/asdm/identity-cert/cert-install.html。
站点间集群
对于站点间安装,您只要遵循建议的准则即可充分发挥 ASA 虚拟 集群的作用。
您可以将每个集群机箱配置为属于单独的站点 ID。站点 ID 用于使用 LISP 检查、导向器本地化来实现流量移动,以提高性能、减少数据中心的站点间集群的往返时间延迟以及连接的站点冗余,其中流量流的备用所有者始终位于与所有者不同的站点上。
有关站点间集群的详细信息,请参阅以下各节:
-
调整数据中心互联的规模 - ASA 虚拟集群要求和必备条件
-
站点间准则 - ASA 虚拟集群的准则
-
配置集群流移动性 -配置集群流移动性
-
启用导向器本地化 - 启用导向器本地化
-
启用站点冗余 - 启用导向器本地化
-
站点间示例:独立接口路由模式南北站点间集群示例