这些功能将应用到每个 ASA 节点而非整个集群或控制节点。

• QoS - QoS 策略将于配置复制过程中在集群中同步。但是，该策略是在每个节点上独立执行。例如，如果对输出配置管制，则要对流出特定 ASA 的流量应用符合规则的速率和符合规则的突发量值。在包含 3 个节点且流量均衡分布的集群中，符合规则的速率实际上变成了集群速率的 3 倍。

• 威胁检测 - 威胁检测在各节点上独立工作；例如，排名统计信息就要视具体节点而定。以端口扫描检测为例，由于扫描的流量将在所有节点间进行负载均衡，而一个节点无法看到所有流量，因此端口扫描检测无法工作。

• 资源管理 - 多情景模式下的资源管理根据本地使用情况在每个节点上分别执行。

• LISP 流量 - UDP 端口 4342 上的 LISP 流量由每个接收节点进行检查，但是没有为其分配导向器。每个节点都会添加到集群共享的 EID 表，但是 LISP 流量本身并不参与集群状态共享。

用于网络访问的 AAA 由三部分组成：身份验证、授权和记账。身份验证和授权作为集中功能在集群控制节点上实施，且数据结构复制到集群数据节点。如果选举出控制节点，新的控制节点将拥有所需的所有信息，以继续不间断运行经过验证的既有用户及其相关授权。当控制节点发生变化时，用户身份验证的空闲和绝对超时将保留。

记账作为分散的功能在集群中实施。记账按每次流量完成，因此在为流量配置记账时，作为流量所有者的集群节点会将记账开始和停止消息发送到 AAA 服务器。

连接限制在集群范围强制实施（请参阅配置 (Configuration)> 防火墙 (Firewall)> 服务策略 (Service Policy) 页面）。每个节点都有根据广播消息估计的集群范围的计数器值。出于效率考虑，在集群中配置的连接限制可能不会严格按限制数量实施。每个节点在任何指定时间都可能高估或低估集群范围内的计数器值。不过，在负载均衡的集群中，该信息将随时间而更新。

• 如果 FTP 数据通道和控制通道流量由不同的集群成员所有，则数据通道所有者会将空闲超时更新定期发送到控制通道所有者并更新空闲超时值。但是，如果重新加载控制流量所有者并重新托管控制流量，则不会再保持父/子流量关系；控制流量空闲超时不会更新。

• 如果您将 AAA 用于 FTP 访问，则控制通道流集中在控制节点上。

NAT 可能会影响集群的总吞吐量。入站和出站 NAT 数据包可被发送到集群中不同的 ASA，因为负载均衡算法取决于 IP 地址和端口，NAT 会导致入站和出站数据包具有不同的 IP 地址和/或端口。当数据包到达并非 NAT 所有者的 ASA时，会通过集群控制链路转发到所有者，导致集群控制链路上存在大量流量。请注意，接收节点不会创建流向所有者的转发流量，因为 NAT 所有者最终可能不会根据安全和策略检查结果为数据包创建连接。

如果您仍想在集群中使用 NAT，请考虑以下准则：

• PAT 采用端口块分配 - 请参阅该功能的以下准则：

  • 每主机最大流量限制并不针对整个集群，而是单独应用于每个节点。因此，在每主机最大流量限制配置为 1 的包含 3 个节点的集群中，如果在全部 3 个节点上对来自主机的流量实行负载均衡，则可以分配 3 个端口块，每个节点 1 个。

  • 在执行每主机最大流量限制时，在备份池中的备份节点上创建的端口块不计算在内。

  • 如果进行即时 PAT 规则修改（对 PAT 池改用全新的 IP 地址范围），会导致在新的池生效时仍在传输的转换项备份请求的转换项备份创建失败。此行为并非端口块分配功能所特有，它是一个暂时性 PAT 池问题，只发现于在集群节点之间分配池并执行流量负载均衡的集群部署。

  • 在集群中操作时，不能直接更改块分配大小。只有在集群中重新加载每个设备后，新的大小才会生效。为避免重新加载每个设备，我们建议您删除所有块分配规则并清除与这些规则相关的所有转换。然后，您可以更改块大小并重新创建块分配规则。

• 对动态 PAT 使用 NAT 池地址分配 - 配置 PAT 池时，集群将池中的每个 IP 地址划分为端口块。默认情况下，每个块都是 512 个端口，但如果配置端口块分配规则，则使用块设置。这些块在集群中的各个节点之间均匀分配，因此每个节点都有一个或多个块对应 PAT 池中的每个 IP 地址。因此，在一个集群的 PAT 池中可以最少拥有一个 IP 地址，只要这足以支持您预期的 PAT 连接数即可。端口块覆盖的端口范围为 1024-65535，除非您在 PAT 池 NAT 规则中配置该选项以包含保留的端口 1-1023。

• 在多个规则中重复使用 PAT 池 - 要在多条规则中使用同一 PAT 池，必须注意规则中的接口选择。必须在所有规则中使用特定接口，或者在所有规则中使用“任意”接口。不能在规则中混合使用特定接口和“任意”接口，否则系统可能无法将返回流量与集群中的正确节点进行匹配。每条规则使用唯一的 PAT 池是最可靠的方案。

• 不使用轮询 - 集群不支持 PAT 池轮询。

• 无扩展 PAT - 集群不支持扩展 PAT。

• 控制节点管理的动态 NAT 转换 - 控制节点保留转换表并复制到数据节点。当数据节点收到需要动态 NAT 的连接并且转换不在表中时，它将请求从控制节点转换。数据节点拥有该连接。

• 过时 xlate - 连接所有者上的 xlate 空闲时间不会更新。因此，空闲时间值可能会超过空闲超时值。如果空闲计时器值高于配置的超时值（refcnt 为 0），则表示 xlate 过时。

• 每会话 PAT 功能 - 每会话 PAT 功能并非集群专用功能，但它能提高 PAT 的可扩展性，而且对集群而言，它允许每个数据节点成为 PAT 连接的所有者；相比之下，多会话 PAT 连接则必须转发到控制节点并由控制节点所有。默认情况下，所有 TCP 流量和 UDP DNS 流量均使用每会话 PAT 转换，而 ICMP 和所有其他 UDP 流量均使用多会话。您可以为 TCP 和 UDP 配置每会话 NAT 规则以更改这些默认设置，但是，您不能为 ICMP 配置每会话 PAT。对于使用多会话 PAT 的流量（例如 H.323、SIP 或 Skinny），您可以禁用关联 TCP 端口的每会话 PAT（这些 H.323 和 SIP 的 UDP 端口已默认为多会话）。有关每会话 PAT 的详细信息，请参阅防火墙配置指南。

• 对以下检查不使用静态 PAT：

  • FTP

  • PPTP

  • RSH

  • SQLNET

  • TFTP

  • XDMCP

  • SIP

• 如果您有大量 NAT 规则（超过一万条），则应使用设备 CLI 中的 asp rule-engine transactional-commit nat 命令启用事务提交模型。否则，节点可能无法加入集群。

SCTP 关联可以在任何节点上创建（由于负载均衡），但其多宿主连接必须位于同一节点上。

控制流可以在任何节点上创建（由于负载均衡），但其子数据流必须位于同一节点上。

不支持 TLS 代理配置。

SNMP 代理按照本地 IP 地址轮询每一个ASA。您无法轮询集群的合并数据。

您应始终使用本地地址而非主集群 IP 地址进行 SNMP 轮询。如果 SNMP 代理轮询主集群 IP 地址，则当选举出新的控制节点时，对新控制节点的轮询将失败。

当使用 SNMPv3 进行集群时，如果您在初始集群形成后添加新的集群节点，则 SNMPv3 用户不会复制到新节点。您必须在控制节点上重新添加它们以强制用户复制到新节点，或者直接在数据节点上复制。

故障转移和集群模式支持 STUN 检查，因为针孔被复制。但是，节点之间不进行事务 ID 的复制。如果节点在收到 STUN 请求后发生故障，并且另一个节点收到 STUN 响应，则该 STUN 响应将被丢弃。

• 系统日志 - 集群中的每个节点都会生成自己的系统日志消息。您可以配置日志记录，使每个节点在系统日志消息的报头字段中使用相同或不同的设备 ID。例如，集群中的所有节点都会复制和共享主机名配置。如果将日志记录配置为使用主机名作为设备 ID，则所有节点生成的系统日志消息都会看似来自一个节点。如果将日志记录配置为使用集群引导程序配置中指定的本地节点名称作为设备 ID，系统日志消息就会看似来自不同节点。

• NetFlow - 集群中的每个节点都会生成自己的 NetFlow 数据流。NetFlow 收集器只能将每台 ASA 视为单独的 NetFlow 导出器。

只有控制节点学习安全组标记 (SGT) 信息。然后，控制节点将 SGT 填充到数据节点，数据节点可以根据安全策略对 SGT 做出匹配决策。

每个节点通过集群控制链路定期发送广播保持连接心跳数据包。如果控制节点在可配置的超时期限内未从数据节点接收任何keepalive心跳数据包或其他数据包，则控制节点会从集群中删除该数据节点。如果数据节点未从控制节点接收数据包，则从其余节点中选择新的控制节点。

如果节点因为网络故障而不是因为节点实际故障而无法通过集群控制链路相互访问，则集群可能会进入“裂脑”场景，其中隔离的数据节点将选择自己的控制节点。例如，如果路由器在两个集群位置之间发生故障，则位于位置1的原始控制节点将从集群中删除位置2数据节点。同时，位置2的节点将选择自己的控制节点并形成自己的集群。请注意，在这种情况下，非对称流量可能会失败。恢复集群控制链路后，优先级较高的控制节点将保留控制节点的角色。

有关详细信息，请参阅控制节点选择。

当集群中的节点发生故障时，该节点承载的连接将无缝转移到其他节点；流量的状态信息将通过控制节点的集群控制链路共享。

如果控制节点发生故障，则优先级最高（数字最小）的另一个集群成员将成为控制节点。

ASA将自动尝试重新加入集群，具体取决于故障事件。

注	当 ASA 变成不活动状态且无法自动重新加入集群时，所有数据接口都会关闭，仅管理专用接口可以发送和接收流量。管理接口将保持打开，使用节点从集群 IP 池接收的 IP 地址。但是，如果您重新加载而节点在集群中仍然处于非活动状态，管理接口将被禁用。您必须使用控制台端口来进行任何进一步配置。

每个连接在集群中都有一个所有者和至少一个备用所有者。备用所有者在发生故障时不会接管连接；而是存储 TCP/UDP 状态信息，使连接在发生故障时可以无缝转移到新的所有者。备用所有者通常也是导向器。

有些流量需要 TCP 或 UDP 层以上的状态信息。请参阅下表了解支持或不支持此类流量的集群。

请参阅为每个连接定义的下列角色：

• 所有者 - 通常为最初接收连接的节点。所有者负责维护 TCP 状态并处理数据包。一个连接只有一个所有者。如果原始所有者发生故障，则当新节点从连接接收到数据包时，导向器会从这些节点中选择新的所有者。

• 备用所有者 - 存储从所有者接收的 TCP/UDP 状态信息的节点，以便在出现故障时可以无缝地将连接转移到新的所有者。在发生故障时，备用所有者不会接管连接。如果所有者处于不可用状态，从该连接接收数据包的第一个节点（根据负载均衡而定）联系备用所有者获取相关的状态信息，以便成为新的所有者。

  只要导向器（见下文）与所有者不是同一节点，导向器也可以是备用所有者。如果所有者选择自己作为导向器，则选择一个单独的备用所有者。

  对于 Firepower 9300 上的在一个机箱中包括多达 3 个集群节点的集群，如果备用所有者与所有者在同一机箱上，则将从另一个机箱中选择一个额外的备用所有者来保护流量免受机箱故障的影响。

  如果您对站点间集群启用导向器本地化，则有两个备用所有者角色：本地备用和全局备用。所有者始终选择与自身位于同一站点（基于站点 ID）的本地备用。全局备用可以位于任何站点，甚至可以与本地备用是同一个节点。所有者向两个备用所有者发送连接状态信息。

  如果启用站点冗余，并且备用所有者与所有者位于同一站点，则将从另一个站点选择一个额外的备用所有者来保护流量免受站点故障的影响。机箱备份和站点备份是独立的，因此流量在某些情况将同时具有机箱备份和站点备份。

• 导向器 - 处理来自转发器的所有者查找请求的节点。当所有者收到新连接时，会根据源/目的 IP 地址和端口的散列值（有关 ICMP 散列详细信息，请参见下文）选择导向器，然后向导向器发送消息来注册该新连接。如果数据包到达除所有者以外的任何其他节点，该节点会向导向器查询哪一个节点是所有者，以便转发数据包。一个连接只有一个导向器。如果导向器发生故障，所有者会选择一个新的导向器。

  只要导向器与所有者不是同一节点，导向器也可以是备用所有者（见上文）。如果所有者选择自己作为导向器，则选择一个单独的备用所有者。

  如果您对站点间集群启用导向器本地化，则有两个导向器角色：本地导向器和全局导向器。所有者始终选择与它自身位于同一站点（基于站点 ID）的本地导向器。全局导向器可以位于任何站点，甚至可以与本地导向器是同一节点。如果原始所有者发生故障，本地导向器将在同一站点选择新的连接所有者。

  ICMP/ICMPv6 散列详细信息：

  • 对于 Echo 数据包，源端口为 ICMP 标识符，目的端口为 0。

  • 对于 Reply 数据包，源端口为 0，目的端口为 ICMP 标识符。

  • 对于其他数据包，源端口和目的端口均为 0。

• 转发器 - 向所有者转发数据包的节点。如果转发者收到并非其所有的连接的数据包，则会向导向器查询所有者，然后为其收到的此连接的任何其他数据包建立发往所有者的流量。导向器也可以是转发者。如果启用导向器本地化，转发器将始终向本地导向器查询。如果本地导向器未获知所有者，例如，当集群成员收到所有者位于其他站点上的连接的数据包时，转发者将仅查询全局导向器。请注意，如果转发者收到 SYN-ACK 数据包，它可以从数据包的 SYN Cookie 直接获知所有者，因此无需向导向器查询。（如果禁用 TCP 序列随机化，则不会使用 SYN Cookie；必须向导向器查询。）对于 DNS 和 ICMP 等持续时间极短的流量，转发者不会查询，而是立即将数据包发送到导向器，然后由其发送到所有者。一个连接了可以有多个转发器；采用良好的负载均衡方法可以做到没有转发器，让一个连接的所有数据包都由所有者接收，从而实现最高效率的吞吐量。

  注	不建议您在使用集群时禁用 TCP 序列随机化。由于 SYN/ACK 数据包可能会被丢弃，因此少数情况下可能无法建立某些 TCP 会话。

• 分段所有者 - 对于分段的数据包，接收分段的集群节点使用分段源 IP 地址、目的 IP 地址和数据包 ID 的散列确定分段所有者。然后，所有片段都通过集群控制链路转发给片段所有者。片段可能均衡分发给不同的集群节点，因为只有第一个分段包含交换机负载均衡散列中使用的 5 元组。其他片段不包含源端口和目的端口，可能会均衡分发给其他集群节点。片段所有者临时重组数据包，以便根据源/目标 IP 地址和端口的散列来确定导向器。如果是新连接，则片段所有者将注册为连接所有者。如果是现有连接，则片段所有者将所有片段转发给集群控制链路上提供的连接所有者。然后，连接所有者将重组所有片段。

当连接使用端口地址转换 (PAT) 时，PAT 类型（每会话或多会话）会对哪个集群成员将成为新连接的所有者产生影响：

• 每会话 PAT - 所有者是接收连接中的初始数据包的节点。

  默认情况下，TCP 和 DNS UDP 流量均使用每会话 PAT。

• 多会话 PAT - 所有者始终是控制节点。如果多会话 PAT 连接最初由数据节点接收，则数据节点会将连接转发给控制节点。

  默认情况下，UDP（DNS UDP 除外）和 ICMP 流量使用多会话 PAT，因此这些连接始终归控制节点所有。

您可以更改 TCP 和 UDP 的每会话 PAT 默认设置，以便根据配置按每会话或多会话处理这些协议的连接。对于 ICMP，您不能更改默认的多会话 PAT。有关每会话 PAT 的详细信息，请参阅防火墙配置指南。

以下图例显示了新连接的建立。

1. SYN 数据包从客户端发出，被传送到一台 ASA（基于负载均衡方法），该设备将成为所有者。所有者创建一个流量，将所有者信息编码为 SYN Cookie，然后将数据包转发到服务器。

2. SYN-ACK 数据包从服务器发出，被传送到一台不同的 ASA（基于负载均衡方法）。此 ASA是转发者。

3. 由于转发器不是该连接的所有者，因此它将解码 SYN Cookie 中的所有者信息，然后创建发往所有者的转发流量，并将 SYN-ACK 数据包转发到所有者。

4. 所有者将状态更新发送到导向器，然后将 SYN-ACK 数据包转发到客户端。

5. 导向器接收来自所有者的状态更新，创建发往所有者的流量，并记录 TCP 状态信息以及所有者。导向器将充当该连接的备用所有者。

6. 传送到转发器的任何后续数据包都会被转发到所有者。

7. 如果数据包被传送到任何其他节点，它将向导向器查询所有者并建立一个流量。

8. 该流量的任何状态更改都会导致所有者向导向器发送状态更新。

以下图例显示了新连接的建立。

1. 

   第一个 UDP 数据包从客户端发出，被传送到一个ASA（基于负载均衡方法）。

2. 收到第一个数据包的节点查询基于源/目的 IP 地址和端口的散列值选择的导向器节点。

3. 导向器找不到现有流，创建导向器流并将数据包转发回前一个节点。换句话说，导向器已为此流选择了所有者。

4. 所有者创建流，向导向器发送状态更新，然后将数据包转发到服务器。

5. 第二个 UDP 数据包从服务器发出，并被传送到转发器。

6. 转发器向导向器查询所有权信息。对于 DNS 等持续时间极短的流量，转发者不会查询，而是立即将数据包发送到导向器，然后由其发送到所有者。

7. 导向器向转发器回复所有权信息。

8. 转发器创建转发流以记录所有者信息，并将数据包转发给所有者。

9. 所有者将数据包转发到客户端。