在 Cisco Secure Firewall 3100/4200 的集群
集群允许您将多个 威胁防御设备作为单一逻辑设备组合到一起。集群具有单个设备的全部便捷性(管理、集成到一个网络中),同时还能实现吞吐量增加和多个设备的冗余性。
 注 |
关于 Cisco Secure Firewall 3100/4200的集群
本节介绍集群架构及其工作原理。
集群如何融入网络中
集群包含多台防火墙,作为单一设备工作。要用作集群,该防火墙需要以下基础设施:
-
独立的高速背板网络(称为集群控制链路)用于集群内的通信。
-
对每台防火墙的管理访问权限,用于进行配置和监控。
将集群接入网络中时,上游和下游路由器需要能够使用 跨区域以太网通道。将多个集群成员上的接口分组为一个 EtherChannel;EtherChannel 在设备之间执行负载均衡。
控制和数据节点角色
一个集群成员是控制节点。如果多个集群节点同时上线,则控制节点由中的优先级设置决定;优先级可设置为 1 到 100,其中 1 为最高优先级。所有其他成员都是数据节点。 首次创建集群时,您可以指定要成为控制节点的节点,因为它是添加到集群的第一个节点,所以它将成为控制节点。
集群中的所有节点共享同一个配置。您最初指定为控制节点的节点将在数据节点加入集群时覆盖数据节点上的配置,因此您只需在形成集群之前在控制节点上执行初始配置。
有些功能在集群中无法扩展,控制节点将处理这些功能的所有流量。
集群接口
您可以将数据接口配置为 跨区以太网通道。有关详细信息,请参阅关于集群接口。
注 |
除管理接口以外,不支持单个接口。 |
集群控制链路
每台设备至少必须将一个硬件接口专门用作集群控制链路。有关详细信息,请参阅集群控制链路。
配置复制
集群中的所有节点共享一个配置。您只能在控制节点上进行配置更改(引导程序配置除外),这些更改会自动同步到集群中的所有其他节点。
管理网络
您必须使用管理接口来管理每个节点;集群不支持从数据接口进行管理。
集群许可证
您可以将功能许可证分配到整个集群,而不是单个节点。但是,对于每个功能,集群中的每个节点都会使用一个单独的许可证。集群功能本身不需要任何许可证。
在将控制节点添加到 管理中心时,您可以指定要用于该集群的功能许可证。在创建集群之前,将哪些许可证分配给数据节点并不重要;控制节点的许可证设置将复制到每个数据节点。您可以在 系统(
) > 编辑许可证 或 区域中修改集群的许可证。
注 |
如果在 管理中心 获得许可(并在评估模式下运行)之前添加了集群,当您许可 管理中心 时,会在将策略更改部署到集群时遇到流量中断的情况。更改为许可模式会导致所有数据单元先退出集群,然后重新加入。 |
集群要求和必备条件
型号要求
-
Cisco Secure Firewall 3100 - 最多 8 台设备
-
Cisco Secure Firewall 4200 - 最多 8 台设备
用户角色
-
管理员
-
访问管理员
-
网络管理员
硬件和软件要求
集群中的所有设备:
-
必须是相同型号。
-
必须包含相同的接口。
-
必须从管理接口访问 管理中心;不支持数据接口管理。
-
除在映像升级时以外,必须运行完全相同的软件。支持无中断升级。
-
必须处于相同的防火墙模式(路由或透明)。
-
必须在同一域中。
-
必须在同一组中。
-
不得有任何待处理或进行中的部署。
-
控制节点不得配置任何不受支持的功能(请参阅集群不支持的功能)。
-
数据节点不得配置任何 VPN。控制节点可以配置站点间 VPN。
交换机要求
-
请务必完成交换机配置后再配置集群。确保连接到集群控制链路的端口配置了正确(更高)的 MTU。默认情况下,集群控制链路 MTU 会被设置为比数据接口高 100 字节。如果交换机的 MTU 不匹配,则集群形成将失败。
面向集群的指导原则
防火墙模式
所有设备上的防火墙模式必须匹配。
高可用性
集群不支持高可用性。
IPv6
集群控制链路只有在使用 IPv4 时才受支持。
交换机
-
确保连接的交换机与集群数据接口和集群控制链路接口的 MTU 匹配。您应将集群控制链路接口 MTU 配置为比数据接口 MTU 至少高 100 字节,因此请确保适当配置集群控制链路连接的交换机。由于集群控制链路流量包括数据包转发,因此集群控制链路需要能够容纳完整大小的数据包以及集群流量开销。
-
对于 Cisco IOS XR 系统,如果要设置非默认 MTU,请将 IOS XR 接口 MTU 设置为比集群设备 MTU 高 14 字节。除非使用 mtu-ignore 选项,否则 OSPF 邻近对等尝试可能会失败。请注意,集群设备 MTU 应与 IOS XR IPv4 MTU 匹配。Cisco Catalyst 和 Cisco Nexus 交换机不需要进行这种调整。
-
在用于集群控制链路接口的交换机上,您可以选择在连接到集群设备的交换机端口上启用生成树 PortFast 来加快新设备加入集群的过程。
-
在交换机上,我们建议使用以下其中一种 EtherChannel 负载均衡算法:source-dest-ip 或 source-dest-ip-port (请参阅思科 Nexus OS 和思科 IOS-XE port-channel load-balance 命令)。请勿在负载均衡算法中使用关键字 vlan,否则会导致传输到集群中的设备的流量分摊不均。
-
如果在交换机上更改 EtherChannel 的负载均衡算法,则交换机上的 EtherChannel 接口将暂时停止转发流量,生成树协议重新启动。在流量再次开始传输之前会存在延迟。
-
集群控制链路路径上的交换机不应验证第 4 层校验和。集群控制链路上的重定向流量没有正确的第 4 层校验和。交换机验证第 4 层校验和可能导致流量被丢弃。
-
端口通道绑定中断时间不得超过配置的 keepalive 间隔。
-
在 Supervisor 2T EtherChannel 上,默认的散列值分配算法是自适应算法。为了避免 VSS 设计中的非对称流量,请将连接到集群设备的端口通道上的散列算法更改为固定:
router(config)# port-channel id hash-distribution fixed
请勿全局更改算法;您可能需要对 VSS 对等链路使用自适应算法。
-
您应在所有面向集群的 EtherChannel 接口上为思科 Nexus 交换机禁用 LACP Graceful Convergence 功能。
EtherChannel
-
在低于 15.1(1)S2 的 Catalyst 3750-X 思科 IOS 软件版本中,此集群设备不支持将 EtherChannel 连接到交换机堆叠。在默认交换机设置下,如果跨堆栈连接集群设备 EtherChannel,则当控制设备交换机关闭时,连接到其余交换机的 EtherChannel 不会正常工作。要提高兼容性,请将 stack-mac persistent timer 命令设置为足够大的值,以将重载时间计算在内;例如,可将其设置为 8 分钟,或设置为 0 以表示无穷大。或者,您可以升级到更加稳定的交换机软件版本,例如 15.1(1)S2。
-
跨网络与设备本地 EtherChannel 配置 - 请务必为跨区以太网通道和设备本地 EtherChannel 适当地配置交换机。
-
跨区以太网通道 - 对于跨越所有集群成员的集群设备跨网络 EtherChannel,所有接口在交换机上合并为一个 EtherChannel。请确保每个接口都属于交换机上的同一个通道组。
-
设备本地 EtherChannel - 对于集群设备本地 EtherChannels,包括为集群控制链路配置的任何 EtherChannel,请务必在交换机上配置分散的 EtherChannel;请勿在交换机上将多个集群设备 EtherChannel 合并为一个 EtherChannel。
-
其他准则
-
当拓扑发生重大更改时(例如添加或删除 EtherChannel 接口、启用或禁用 威胁防御或交换机上的接口、添加其他交换机以形成 VSS 或 vPC),应禁用运行状况检查功能,另外还应为禁用的接口禁用接口监控。当拓扑更改完成且配置更改已同步到所有设备后,您可以重新启用接口运行状态检查功能。
-
将设备添加到现有集群时或重新加载设备时,会有限地暂时丢弃数据包/断开连接;这是预期行为。有些时候,丢弃的数据包会挂起连接;例如,丢弃 FTP 连接的 FIN/ACK 数据包将使 FTP 客户端挂起。在此情况下,您需要重新建立 FTP 连接。
-
如果使用连接到跨网络 EtherChannel 的 Windows 2003 服务器,当系统日志服务器端口关闭且服务器没有限制 ICMP 错误信息时,将会有大量 ICMP 消息被发送回 ASA 集群。这些消息会导致 ASA 集群的某些设备 CPU 使用率极高,进而影响性能。因此,我们建议您限制 ICMP 错误信息。
-
对于解密的 TLS/SSL 连接,解密状态不同步,如果连接所有者失败,则解密的连接将重置。需要建立新连接以连通新设备。未解密的连接(它们匹配“不解密”规则)不受影响,并且可以正确复制。
集群默认设置
-
将自动生成 cLACP 系统 ID 且系统优先级默认为 1。
-
默认情况下,集群运行状况检查功能处于启用状态,保持时间为 3 秒。默认情况下,在所有接口上启用接口运行状况监控。
-
用于发生故障的集群控制链路的集群自动重新加入功能为每 5 分钟尝试无限次。
-
用于发生故障的数据接口的集群自动重新加入功能为每 5 分钟尝试 3 次,增量间隔设置为 2。
-
对于 HTTP 流量,默认启用 5 秒的连接复制延迟。
配置集群
要将集群添加到 管理中心,请将每个节点作为独立设备添加到 管理中心,在要作为控制节点的设备上配置接口,然后即可形成集群。
关于集群接口
您可以将数据接口配置为 跨区以太网通道。每台设备还必须至少将一个硬件接口专门用作集群控制链路。
集群控制链路
每台设备至少必须将一个硬件接口专门用作集群控制链路。我们建议将 EtherChannel 用于集群控制链路(如果可用)。
集群控制链路流量概述
集群控制链路流量包括控制流量和数据流量。
控制流量包括:
-
控制节点选举。
-
配置复制。
-
运行状况监控。
数据流量包括:
-
状态复制。
-
连接所有权查询和数据包转发。
集群控制链路接口和网络
您可以将任何物理接口或 EtherChannel 用于集群控制链路。VLAN 子接口不能用作集群控制链路。您也无法使用管理接口。
每条集群控制链路都有一个属于同一子网的 IP 地址。此子网应与所有其他流量隔离,并且只包括集群控制链路接口。
注 |
对于有 2 个成员的集群,请勿将集群控制链路从一个节点直接连接到另一个节点。如果直接连接两个接口,则当一台设备发生故障时,集群控制链路失效,会导致剩下的那台正常设备也发生故障。而如果通过交换机连接集群控制链路,则集群控制链路仍会对正常设备打开。如果需要直接连接设备(例如,出于测试目的),则应在形成集群之前在两个节点上配置并启用集群控制链路接口。 |
确定集群控制链路规格
如果可能,应将集群控制链路的大小设定为与每个机箱的预期吞吐量匹配,以使集群控制链路可以处理最坏情况。
集群控制链路流量主要由状态更新和转发的数据包组成。集群控制链路在任一给定时间的流量大小不尽相同。转发流量的大小取决于负载均衡的效率或是否存在大量用于集中功能的流量。例如:
-
NAT 会使连接的负载均衡不佳,需要对所有返回流量进行再均衡,将其转发到正确的设备。
-
当成员身份更改时,集群需要对大量连接进行再均衡,因此会暂时耗用大量集群控制链路带宽。
带宽较高的集群控制链路可以帮助集群在发生成员身份更改时更快地收敛,并防止出现吞吐量瓶颈。
注 |
如果集群中存在大量不对称(再均衡)流量,应增加集群控制链路的吞吐量大小。 |
集群控制链路冗余
下图显示了如何在虚拟交换系统 (VSS)、虚拟端口通道 (vPC)、StackWise 或 StackWise Virtual 环境中使用 EtherChannel 作为集群控制链路。EtherChannel 中的所有链路都是活动链路。如果交换机是冗余系统的一部分,则您可以将同一个 EtherChannel 中的防火墙接口连接到冗余系统中单独的交换机。交换机接口是同一个 EtherChannel 端口通道接口的成员,因为两台不同的交换机的行为就像一台交换机一样。请注意,此 EtherChannel 是设备本地的,而非跨网络 EtherChannel。
集群控制链路可靠性
为了确保集群控制链路的功能,设备之间的往返时间 (RTT) 务必要小于 20 毫秒。此最大延迟能够增强与不同地理位置安装的集群成员的兼容性。要检查延迟,请在设备之间的集群控制链路上执行 ping 操作。
集群控制链路必须可靠,没有数据包无序或丢弃数据包的情况;例如,站点间部署应使用专用链路。
跨网络 EtherChannel
您可以将每个机箱的一个或多个接口组成跨集群中所有机箱的 EtherChannel。EtherChannel 汇聚通道中所有可用活动接口上的流量。在路由模式和透明防火墙模式下均可配置跨区以太网通道。在路由模式下,EtherChannel 配置为具有单个 IP 地址的路由接口。在透明模式下,IP 地址分配到 BVI 而非网桥组成员接口。负载均衡属于 EtherChannel 固有的基本操作。
最大吞吐量准则
要实现最大吞吐量,我们建议采取以下措施:
-
使用“对称”的负载均衡散列算法,亦即来自两个方向的数据包具有相同的散列值,并将在跨网络 EtherChannel 中发送到同一台 威胁防御。我们建议将源和目标 IP 地址(默认设置)或源和目标端口用作散列算法。
-
将 威胁防御 连接到交换机时使用相同类型的线路卡,以使应用于所有数据包的散列算法都相同。
负载均衡
EtherChannel 链路使用专有散列算法并且根据源或目标 IP 地址以及 TCP 和 UDP 端口号进行选择。
注 |
在交换机上,我们建议使用以下其中一种算法:source-dest-ip 或 source-dest-ip-port(请参阅思科 Nexus OS 或思科 IOS port-channel load-balance 命令)。请勿在负载均衡算法中使用关键字 vlan,否则会导致传输到集群中的 ASA 的流量分摊不均。 |
EtherChannel 中的链路数量会影响负载均衡。
对称的负载均衡有时并不能够实现。如果您配置了 NAT,则转发和返回数据包具有不同的 IP 地址和/或端口。返回流量将根据散列值被发送到不同的设备,因此集群不得不将大部分返回流量重定向到正确的设备。
EtherChannel 冗余
EtherChannel 有内置冗余。它监控所有链路的线路协议状态。如果一条链路发生故障,将在其余链路之间再均衡流量。如果 EtherChannel 中的所有链路在特定设备上发生故障,但其他设备仍然处于活动状态,则会从集群中删除该设备。
连接到冗余交换机系统
您可以在跨网络 EtherChannel 中包含每台 威胁防御 的多个接口。每台 威胁防御 有多个接口,对于连接到 VSS、vPC、StackWise 或 StackWise Virtual 中两台交换机的情况特别有用。
根据交换机的不同,最多可在跨网络 EtherChannel 中配置 32 条活动链路。此功能需要 vPC 中的两台交换机都支持各有 16 条活动链路的 EtherChannel(例如带 F2 系列 10 千兆以太网模块的思科 Nexus 7000)。
对于支持 EtherChannel 中有 8 条活动链路的交换机,在连接到冗余系统中的两台交换机时,最多可在跨区以太网通道 中配置 16 条活动链路。
下图所示为 4 节点集群和 8 节点集群中有 16 条活动链路的跨区以太网通道。
连接电缆并将设备添加到管理中心
在配置集群之前,您需要准备设备。特别是,除非所有节点都可以通过集群控制链路进行通信,否则集群将无法启动。因此,在形成集群之前,集群控制链路必须准备就绪。
过程
|
步骤 1 |
使用电缆连接集群控制链路网络、管理网络和数据网络。 |
||
|
步骤 2 |
配置上游和下游设备。 |
||
|
步骤 3 |
将每个节点作为同一域和组中的独立设备添加到 管理中心。 您可以创建包含单个设备的集群,然后稍后添加更多节点。您在添加设备时设置的初始设置(许可、访问控制策略)将被控制节点的所有集群节点继承。您将在形成集群时选择控制节点。 |
||
|
步骤 4 |
在要作为控制节点的设备上启用集群控制链路。 当您添加其他节点时,它们将继承集群控制链路配置。
|
创建集群
从 管理中心 中的一个或多个设备组成集群。
过程
|
步骤 1 |
选择,然后选择。 出现添加集群向导 (Add Cluster Wizard)。 
|
||||
|
步骤 2 |
为控制流量指定集群名称 (Cluster Name) 和身份验证集群密钥 (Cluster Key)。
|
||||
|
步骤 3 |
对于控制节点,请进行以下设置:
|
||||
|
步骤 4 |
对于数据节点(可选),点击添加数据节点 (Add a data node) 以便将节点添加到集群。 您可以仅使用控制节点建立集群,以便加快集群建立的速度,也可以立即添加所有节点。为每个数据节点设置以下内容:
|
||||
|
步骤 5 |
点击继续。查看摘要 (Summary),然后点击保存 (Save)。 集群名称显示在 页面上;展开集群可查看集群节点。 
当前正在注册的节点会显示加载图标。 
您可以通过点击 通知 (Notifications) 图标并选择 任务 (Tasks) 来监控集群节点的注册情况。管理中心 会在每个节点注册时更新“集群注册”(Cluster Registration) 任务。
|
||||
|
步骤 6 |
通过点击集群的 编辑( 大多数配置可以应用于整个集群,而不适用于集群中的节点。例如,可以更改每个节点的显示名称,但只能配置整个集群的接口。 |
||||
|
步骤 7 |
在 屏幕中,可以查看集群的常规 (General) 和其他设置。 
|
||||
|
步骤 8 |
在 上,可从右上方的下拉菜单中选择集群中的每个成员并配置以下设置。 
|
)
配置接口
将数据接口配置为跨区以太网通道。
过程
|
步骤 1 |
选择 ,然后点击集群旁边的 编辑( |
|
步骤 2 |
点击接口 (Interfaces)。 |
|
步骤 3 |
配置跨区以太网通道数据接口。
|
|
步骤 4 |
点击保存 (Save)。 此时,您可以转至并将策略部署到所分配的设备。在部署更改之后,更改才生效。 |
配置集群运行状况监控设置
集群 (Cluster) 页面的集群运行状况监控设置 (Cluster Health Monitor Settings) 部分会显示下表所述信息。
|
字段 |
说明 |
|---|---|
|
超时 |
|
|
保持时间 |
为了确定节点系统运行状况,集群节点会在集群控制链路上将 heartbeat 消息发送到其他节点。如果节点在保持期内未接收到来自对等节点的任何 heartbeat 消息,则对等节点被视为无响应或无法工作。 |
|
接口防退回时间 |
接口防退回时间是节点将接口视为发生故障并将节点从集群中删除之前经过的时间。 |
|
受监控接口 |
接口运行状态检查将监控链路故障。如果特定逻辑接口的所有物理端口在特定节点上发生故障,但在其他节点上的同一逻辑接口下仍有活动端口,则会从集群中删除该节点。节点在多长时间后从集群中删除成员取决于接口的类型以及该节点是既定节点还是正在加入集群的设备。 |
|
服务应用 |
显示是否对 Snort 和磁盘已满进程进行监控。 |
|
不受监控的接口 |
显示不受监控的接口。 |
|
自动重新加入设置 |
|
|
集群接口 |
显示集群控制链路故障的自动重新加入设置。 |
|
数据接口 |
显示数据接口故障的自动重新加入设置。 |
|
系统 |
显示内部错误的自动重新加入设置。内部故障包括:应用程序同步超时、不一致的应用程序状态等。 |
注 |
如果禁用系统运行状况检查,则在禁用系统运行状况检查时不适用的字段将不会显示。 |
您可以在此部分编辑这些设置。
您可以监控任何端口通道 ID、单个物理接口 ID,以及 Snort 和磁盘已满进程。运行状况监控不在 VLAN 子接口或虚拟接口(例如,VNI 或 BVI)上执行。您不能为集群控制链路配置监控;它始终处于被监控状态。
过程
|
步骤 1 |
选择 。 |
|
步骤 2 |
在要修改的集群旁边,点击 编辑( |
|
步骤 3 |
点击集群 (Cluster)。 |
|
步骤 4 |
在集群运行状况监控器设置 (Cluster Health Monitor Settings) 部分,点击 编辑( |
|
步骤 5 |
通过点击运行状况检查 (Health Check) 滑块禁用系统运行状况检查。 
当拓扑发生任何更改时(例如添加或删除数据接口、启用或禁用节点、或交换机上的接口、或者添加额外的交换机形成 VSS 或 vPC),您应禁用系统运行状态检查功能,还要禁用对已禁用接口的接口监控。当拓扑结构更改完成且配置更改已同步到所有节点后,您可以重新启用系统运行状况检查功能和被监控的接口。 |
|
步骤 6 |
配置保持时间和接口防反跳时间。
|
|
步骤 7 |
自定义在运行状况检查发生故障后的自动重新加入集群设置。 
|
|
步骤 8 |
通过移动受监控接口 (Monitored Interfaces)或不受监控接口 (Unmonitored Interfaces) 窗口中的接口来配置受监控接口。您还可以选中或取消选中启用服务应用监控 (Enable Service Application Monitoring),以启用或禁用对 Snort 和磁盘已满进程的监控。 
接口运行状态检查将监控链路故障。如果特定逻辑接口的所有物理端口在特定节点上发生故障,但在其他节点上的同一逻辑接口下仍有活动端口,则会从集群中删除该节点。节点在多长时间后从集群中删除成员取决于接口的类型以及该节点是既定节点还是正在加入集群的设备。默认情况下,为所有接口以及 Snort 和磁盘已满进程启用运行状况检查。 您可能想禁用不重要的接口的运行状况检查。 当拓扑发生任何更改时(例如添加或删除数据接口、启用或禁用节点、或交换机上的接口、或者添加额外的交换机形成 VSS 或 vPC),您应禁用系统运行状态检查功能,还要禁用对已禁用接口的接口监控。当拓扑结构更改完成且配置更改已同步到所有节点后,您可以重新启用系统运行状况检查功能和被监控的接口。 |
|
步骤 9 |
点击保存 (Save)。 |
|
步骤 10 |
部署配置更改。 |
管理集群节点
部署集群后,您可以更改配置和管理集群节点。
添加新的集群节点
您可以将一个或多个新的集群节点添加到现有的集群。
过程
|
步骤 1 |
选择,点击集群的 更多( 
系统将显示管理集群向导 (Manage Cluster Wizard)。 |
|
步骤 2 |
从节点 (Node) 菜单中选择设备,根据需要调整 IP 地址、优先级和站点 ID。 
|
|
步骤 3 |
要添加其他节点,请点击添加数据节点 (Add a data node)。 |
|
步骤 4 |
点击继续。查看摘要 (Summary),然后点击保存 (Save) 当前正在注册的节点会显示加载图标。
您可以通过点击 通知 (Notifications) 图标并选择 任务 (Tasks) 来监控集群节点的注册情况。
|
中断节点
您可以从集群中删除节点,使其成为一个独立设备。除非中断整个集群,否则您无法中断控制节点。数据节点的配置已被清除。
过程
|
步骤 1 |
选择,点击您要中断的节点的 更多( 
您可以选择通过选择中断节点 (Break Nodes) 从集群的“更多”(More) 菜单中断一个或多个节点。 |
|
步骤 2 |
系统会提示您确认中断;点击是 (Yes)。 
您可以通过点击通知 (Notifications) 图标并选择任务 (Tasks) 来监控集群节点中断。 |
中断集群
您可以中断集群并将所有节点都转换为独立设备。控制节点会保留接口和安全策略配置,而数据节点则会清除其配置。
过程
|
步骤 1 |
确保所有集群节点都由 管理中心 通过协调节点来管理。请参阅调整集群节点。 |
|
步骤 2 |
选择,点击集群的 更多( 
|
|
步骤 3 |
系统会提示您断开集群;点击是 (Yes)。 
您可以通过点击 通知 (Notifications) 图标并选择 任务 (Tasks) 来监控集群中断。 |
禁用集群
您可能需要停用节点,以准备删除节点,或临时进行维护。此程序旨在暂时停用节点;节点仍将显示在 管理中心 设备列表中。当节点变为非活动状态时,所有数据接口都将关闭。
过程
|
步骤 1 |
对于要禁用的设备,请选择,点击 更多( 
如果在控制节点上禁用集群,则其中一个数据节点将成为新的控制节点。请注意,对集中功能而言,如果强制更改控制节点,则所有连接都将断开,而您必须在新的控制节点上重新建立连接。如果控制节点是集群中的唯一节点,则无法在该控制节点上禁用集群。 |
|
步骤 2 |
确认要在节点上禁用集群。 节点将在 列表中的节点名称旁边显示(已禁用)([Disabled])。 |
|
步骤 3 |
重新启用集群,请参阅 重新加入集群。 |
重新加入集群
如果从集群中删除了某个节点(例如对于出现故障的接口),或者如果您手动禁用集群,必须手动将其重新加入集群。确保故障已解决,再尝试重新加入集群。有关可从集群中删除节点的原因的更多信息,请参阅重新加入集群。
过程
|
步骤 1 |
对于要重新激活的设备,请选择,点击 更多( |
|
步骤 2 |
确认要在设备上启用集群。 |
更改控制节点
 小心 |
要更改控制节点,最好的方法是在控制节点上禁用集群,等到新的控制选举后再重新启用集群。如果必须指定要成为控制节点的具体单元,请使用本节中的程序。请注意,对集中功能而言,如果使用任何一种方法来强制更改控制节点,则所有连接都将断开,而您必须在新的控制节点上重新建立连接。 |
要更改控制节点,请执行以下步骤:
过程
|
步骤 1 |
通过依次选择 更多( 
|
|
步骤 2 |
对于要成为控制设备的设备,请选择 更多( |
|
步骤 3 |
系统将提示您确认角色更改。选中该复选框,然后点击 确定。 |
编辑集群配置
您可以编辑集群配置。如果更改集群密钥、集群控制链路接口或集群控制链路网络,则集群会被自动中断并重组。在重组集群之前,您可能会遇到流量中断。如果您更改节点、节点优先级或站点 ID 的集群控制链路 IP 地址,则只有受影响的节点会断开并重新添加到集群。
过程
|
步骤 1 |
选择,点击集群的 更多( 
系统将显示管理集群向导 (Manage Cluster Wizard)。 |
|
步骤 2 |
更新集群配置。 
如果集群控制链路是 EtherChannel,则可以通过点击接口下拉菜单旁边的 编辑( |
|
步骤 3 |
点击继续。查看摘要 (Summary),然后点击保存 (Save) |
调整集群节点
如果集群节点注册失败,则可将集群成员身份从设备协调至 管理中心。例如,数据节点在 管理中心 被占用或存在网络问题时注册失败的情况下。
过程
|
步骤 1 |
选择集群的 更多( 
|
|
步骤 2 |
点击协调全部 (Reconcile All)。 
有关集群状态的详细信息,请参阅监控集群。 |
删除(取消注册)集群或节点并注册到新管理中心
您可以从 管理中心 中取消注册集群,从而使集群保持不变。如果要将集群添加到新的 管理中心,则可能需要取消注册该集群。
您还可以从 管理中心 取消注册节点,而不会中断集群中的节点。虽然该节点不会显示在 管理中心 中,但它仍然是集群的一部分,并且它会继续传递流量,甚至可能成为控制节点。您无法取消注册当前的控制节点。如果无法再从管理中心访问该节点,您可能会希望将其取消注册,但在排除管理连接故障时,您仍希望将其作为集群的一部分。
取消注册集群:
-
会切断 管理中心和该集群之间的所有通信。
-
从 设备管理 页面删除集群。
-
如果集群的平台设置策略配置为使用 NTP 从 管理中心 接收时间,则将集群返回本地时间管理。
-
保持配置不变,以便集群继续处理流量。
NAT 和 VPN、ACL 等策略以及接口配置保持不变。
将集群再次注册到相同或不同的 管理中心 会导致配置被删除,因此集群将在该点停止处理流量;集群配置保持不变,因此您可以将集群作为一个整体添加。您可以在注册时选择访问控制策略,但必须在注册后重新应用其他策略,然后在再次处理流量之前部署配置。
开始之前
此过程需要 CLI 对一个节点拥有访问权限。
过程
|
步骤 1 |
选择,点击集群或节点的 更多( 
|
|
步骤 2 |
系统会提示您删除集群或节点;点击是 (Yes)。 |
|
步骤 3 |
您可以通过将其中一个集群成员添加为新设备来将集群注册到新的(或相同的) 管理中心 集群。 您只用将其中一个集群节点添加为设备,然后便可发现其余集群节点。
|
|
步骤 4 |
要重新添加未注册的节点,请参阅调整集群节点。 |
监控集群
您可以在 管理中心 中和 威胁防御 CLI 上监控集群。
-
集群状态 (Cluster Status) 对话框,可通过 更多(
) 图标或从 页面 > 常规 (General) 区域 > 集群实时状态 (Cluster Live Status) 链接打开。
图 28. 集群状态
控制节点有一个标识其角色的图形指示器。
集群成员 状态 包括以下状态:
-
正在同步 (In Sync.) - 节点已向 管理中心 注册。
-
待处理注册 (Pending Registration) - 节点是集群的一部分,但尚未向 管理中心 注册。如果节点注册失败,则可点击协调所有 (Reconcile All) 以重试注册。
-
集群已禁用 (Clustering is disabled) - 节点已向 管理中心 注册,但它是集群的非活动成员。如果您打算稍后重新启用集群配置,集群配置将保持不变,或者您可以从集群中删除节点。
-
“正在加入集群...”(Joining cluster...) - 节点正在加入机箱上的集群,但尚未完成加入。设备将在加入集群后向 管理中心 注册。
对于每个节点,您可以查看摘要 (Summary) 或历史记录 (History)。
图 29. 节点摘要 
图 30. 节点历史记录 
-
-
系统(
) > 任务 页面。
任务 (Tasks) 页面会在每个节点注册时更新“集群注册”(Cluster Registration) 任务。
-
> cluster_name。
展开设备列表页面上的集群时,您可以看到所有成员节点,包括 IP 地址旁显示其角色的控制节点。对于仍在注册的节点,则可看到加载图标。
-
show cluster {access-list [acl_name] | conn [count] | cpu [usage] | history | interface-mode | memory | resource usage | service-policy | traffic | xlate count}
要查看整个集群的聚合数据或其他信息,请使用 show cluster 命令。
-
show cluster info [auto-join | clients | conn-distribution | flow-mobility counters | goid [options] | health | incompatible-config | loadbalance | old-members | packet-distribution | trace [options] | transport { asp | cp}]
要查看集群信息,请使用 show cluster info 命令。
集群运行状况监控器控制面板
集群运行状况监控器
当 威胁防御 是集群的控制节点时, 管理中心 会定期从设备指标数据收集器收集各种指标。集群运行状况监控器由以下组件组成:
-
概述控制面板 - 显示有关集群拓扑、集群统计信息和指标图表的信息:
-
拓扑部分显示集群的实时状态、单个威胁防御的运行状况、威胁防御节点类型(控制节点或数据节点)以及设备的状态。设备的状态可以是 已禁用 (当设备离开集群时)、 已添加 (在公共云集群中,不属于 管理中心的其他节点)或 正常 (节点的理想状态)。
-
集群统计信息部分显示集群的当前指标,包括 CPU 使用率、内存使用率、输入速率、输出速率、活动连接和 NAT 转换。
注
CPU 和内存指标显示数据平面和 snort 使用情况的单个平均值。
-
指标图表(即 CPU 使用情况、内存使用情况、吞吐量和连接)以图形方式显示指定时间段内的集群统计信息。
-
-
负载分布控制面板 - 在两个构件中显示集群节点的负载分布:
-
“分布”构件显示整个集群节点在整个时间范围内的平均数据包和连接分布情况。此数据描述节点如何分配负载。使用此构件,您可以轻松识别负载分布中的任何异常并进行纠正。
-
“节点统计信息”构件以表格格式显示节点级别指标。它显示有关 CPU 使用率、内存使用率、输入速率、输出速率、活动连接以及跨集群节点的 NAT 转换的指标数据。此表视图使您能够关联数据并轻松识别任何差异。
-
-
成员性能控制面板 - 显示集群节点的当前指标。您可以使用选择器来过滤节点并查看特定节点的详细信息。指标数据包括 CPU 使用率、内存使用率、输入速率、输出速率、活动连接和 NAT 转换。
-
CCL 控制面板 - 以图形方式显示集群控制链路数据,即输入和输出速率。
-
故障排除和链接 - 提供常用故障排除主题和程序的便捷链接。
-
时间范围 - 用于限制各种设备指标窗口中显示的信息的可调时间窗口。
-
自定义控制面板 - 显示有关集群范围指标和节点级指标的数据。但是,节点选择仅适用于威胁防御指标,不适用于节点所属的整个集群。
查看集群运行状况
您必须是管理员、运维或安全分析师用户才能执行此程序。
集群运行状况监控器提供集群和其节点的运行状态的详细视图。此集群运行状况监控器在一系列控制面板中提供集群的运行状况和趋势。
开始之前
-
确保您已从管理中心中的一个或多个设备创建集群。
过程
|
步骤 1 |
选择系统( 使用监控导航窗格访问节点特定的运行状况监控器。 |
|
步骤 2 |
在设备列表中,点击 展开( |
|
步骤 3 |
要查看集群运行状况统计信息,请点击集群名称。默认情况下,集群监控器会在多个预定义的控制面板中报告这些运行状况和性能。指标控制面板包括:
您可以通过点击标签浏览各种指标控制面板。有关受支持的集群指标的完整列表,请参阅 Cisco Secure Firewall Threat Defense 运行状况指标。 |
|
步骤 4 |
您可以从右上角的下拉列表中配置时间范围。您可以更改时间范围以反映短至前一小时(默认),或长至前一年的时间周期信息。从下拉列表中选择自定义 (Custom) 以配置自定义开始和结束日期。 点击刷新图标可将自动刷新设置为 5 分钟或关闭自动刷新。 |
|
步骤 5 |
点击“部署”图标,在趋势图上根据所选时间范围显示部署重叠。 部署图标指示所选时间范围内的部署数量。垂直条带表示部署开始和结束时间。对于多个部署,将显示多个频段/行。点击虚线顶部的图标可查看部署详细信息。 |
|
步骤 6 |
(对于特定节点运行状况监控器)在设备名称右侧的页面顶部的警报通知中查看节点的 运行状况警报 。 将鼠标指针悬停在 运行状况警报 上可查看节点的运行状况摘要。弹出窗口显示前五个运行状况警报的截断摘要。点击弹出窗口可打开运行状况警报摘要的详细视图。 |
|
步骤 7 |
(对于特定节点运行状况监控器)默认情况下,设备监控器会在多个预定义的控制面板中报告这些运行状况和性能。指标控制面板包括:
您可以通过点击标签浏览各种指标控制面板。有关受支持设备指标的完整列表,请参阅 Cisco Secure Firewall Threat Defense 运行状况指标。 |
|
步骤 8 |
点击运行状况监控器右上角的加号 (+),通过从可用指标组构建您自己的变量集来创建自定义控制面板。 对于集群范围的控制面板,选择集群指标组,然后选择指标。 |
)
)集群指标
集群运行状况监控器跟踪与集群及其节点相关的统计信息,以及负载分布、性能和 CCL 流量统计信息的汇总。
|
指标 |
说明 |
格式 |
|---|---|---|
|
CPU |
集群节点上的 CPU 指标平均值(分别针对数据平面和 snort)。 |
percentage |
|
Memory |
集群节点上的平均内存指标(分别用于数据平面和 snort)。 |
percentage |
|
数据吞吐量 |
集群的传入和传出数据流量统计信息。 |
bytes |
|
CCL 吞吐量 |
集群的传入和传出 CCL 流量统计信息。 |
bytes |
|
连接 |
集群中的活动连接计数。 |
数字 |
|
NAT 转换 |
集群的 NAT 转换计数。 |
数字 |
|
分布 |
集群中每秒的连接分布计数。 |
数字 |
|
数据包数 |
集群中每秒的数据包分发计数。 |
数字 |
对集群进行故障排除
您可以使用 CCL Ping 工具确保集群控制链路正常运行。 您还可以使用以下适用于设备和集群的工具:
-
故障排除文件-如果节点未能加入集群,系统将自动生成故障排除文件。您还可以从 区域生成和下载故障排除文件。
您还可以通过点击 更多(
) 并选择 文件故障排除 ,从 设备管理页面生成文件。
-
CLI 输出-从 区域,您可以查看一组预定义的 CLI 输出,帮助您排除集群的故障。系统会自动为集群运行以下命令:
-
show running-config cluster
-
show cluster info
-
show cluster info health
-
show cluster info transport cp
-
show version
-
show asp drop
-
show counters
-
show arp
-
show int ip brief
-
show blocks
-
show cpu detailed
-
show interface ccl_interface
-
ping ccl_ip size ccl_mtu repeat 2
您还可以在命令字段中输入任何 show 命令。
-
在集群控制链路上执行 Ping
您可以通过执行 ping 来检查是否所有集群节点都能通过集群控制链路相互连接。节点无法加入集群的一个主要原因是集群控制链路配置不正确,例如,集群控制链路 MTU 设置可能高于连接交换机的 MTU。
过程
|
步骤 1 |
选择 ,点击集群的 更多(
|
|
步骤 2 |
展开其中一个节点,然后点击 CCL Ping。 
节点使用与最大 MTU 匹配的数据包大小在集群控制链路上向每个其他节点发送 ping 命令。 |
集群示例
这些示例包含典型部署。
单臂防火墙
来自不同安全域的数据流量与不同的 VLAN 关联,例如,VLAN 10 用于内部网络,而 VLAN 20 用于外部网络。每台 都有一个连接到外部交换机或路由器的物理端口。启用中继使物理链路上的所有数据包都采用 802.1q 封装。 是 VLAN 10 与 VLAN 20 之间的防火墙。
使用跨网络 EtherChannel 时,所有数据链路在交换机侧分组为一个 EtherChannel。如果一台 变得不可用,交换机将在其余设备之间再均衡流量。
流量分隔
您可能更愿意在内部和外部网络之间采用物理方式分离流量。
如上图所示,左侧有一个跨网络 EtherChannel 连接到内部交换机,而右侧的另一个跨网络 EtherChannel 连接到外部交换机。如果需要,您还可以在每个 EtherChannel 上创建 VLAN 子接口。
集群参考
本部分包括有关集群工作原理的详细信息。
威胁防御功能和集群
部分 威胁防御 功能不受集群支持,还有部分功能仅在控制设备上受支持。其他功能可能对如何正确使用规定了注意事项。
集群不支持的功能
以下功能在启用集群的情况下无法配置,相关命令会被拒绝。
注 |
-
远程访问 VPN(SSL VPN 和 IPsec VPN)
-
DHCP 客户端、服务器和代理。支持 DHCP 中继。
-
虚拟隧道接口 (VTIs)
-
高可用性
-
集成路由和桥接
-
FMC UCAPL/CC 模式
集群集中化功能
以下功能只有在控制节点上才受支持,且无法为集群扩展。
注 |
集中功能的流量从成员节点通过集群控制链路转发到控制节点。 如果使用再均衡功能,则会先将集中功能的流量再均衡到非控制节点的设备,然后再将该流量归类为集中功能;如果发生此情况,该流量随后将被发送回控制节点。 对集中功能而言,如果控制节点发生故障,则所有连接都将断开,而您必须在新的控制节点上重新建立连接。 |
注 |
要查看也通过集群进行集中化的 FlexConfig 功能(例如 RADIUS 检测),请参阅 《ASA 常规操作配置指南》。FlexConfig 允许您配置 管理中心 GUI 中不存在的许多 ASA 功能。 |
-
以下应用检查:
-
DCERPC
-
ESMTP
-
NetBIOS
-
PPTP
-
RSH
-
SQLNET
-
SUNRPC
-
TFTP
-
XDMCP
-
-
静态路由监控
-
站点间 VPN
-
IGMP 组播控制平面协议的处理(数据平面转发分布于整个集群中)
-
PIM 组播控制平面协议的处理(数据平面转发分布于整个集群中)
-
动态路由
连接设置和集群
连接限制在集群范围强制实施。每个节点都有根据广播消息估计的集群范围的计数器值。出于效率考虑,在集群中配置的连接限制可能不会严格按限制数量实施。每个节点在任何指定时间都可能高估或低估集群范围内的计数器值。不过,在负载均衡的集群中,该信息将随时间而更新。
FTP 和集群
-
如果 FTP 数据通道和控制通道流量由不同的集群成员所有,则数据通道所有者会将空闲超时更新定期发送到控制通道所有者并更新空闲超时值。但是,如果重新加载控制流量所有者并重新托管控制流量,则不会再保持父/子流量关系;控制流量空闲超时不会更新。
独立接口模式下的组播路由
在独立接口模式下,设备并不单独处理组播。所有数据和路由数据包都由控制设备进行处理和转发,从而避免数据包复制。
NAT 和集群
NAT 可能会影响集群的总吞吐量。入站和出站 NAT 数据包可被发送到集群中不同的 威胁防御,因为负载均衡算法取决于 IP 地址和端口,NAT 会导致入站和出站数据包具有不同的 IP 地址和/或端口。当数据包到达并非 NAT 所有者的 威胁防御时,会通过集群控制链路转发到所有者,导致集群控制链路上存在大量流量。请注意,接收节点不会创建流向所有者的转发流量,因为 NAT 所有者最终可能不会根据安全和策略检查结果为数据包创建连接。
如果您仍想在集群中使用 NAT,请考虑以下准则:
-
PAT 采用端口块分配 - 请参阅该功能的以下准则:
-
每主机最大流量限制并不针对整个集群,而是单独应用于每个节点。因此,在每主机最大流量限制配置为 1 的包含 3 个节点的集群中,如果在全部 3 个节点上对来自主机的流量实行负载均衡,则可以分配 3 个端口块,每个节点 1 个。
-
在执行每主机最大流量限制时,在备份池中的备份节点上创建的端口块不计算在内。
-
如果进行即时 PAT 规则修改(对 PAT 池改用全新的 IP 地址范围),会导致在新的池生效时仍在传输的转换项备份请求的转换项备份创建失败。此行为并非端口块分配功能所特有,它是一个暂时性 PAT 池问题,只发现于在集群节点之间分配池并执行流量负载均衡的集群部署。
-
在集群中操作时,不能直接更改块分配大小。只有在集群中重新加载每个设备后,新的大小才会生效。为避免重新加载每个设备,我们建议您删除所有块分配规则并清除与这些规则相关的所有转换。然后,您可以更改块大小并重新创建块分配规则。
-
-
对动态 PAT 使用 NAT 池地址分配 - 配置 PAT 池时,集群将池中的每个 IP 地址划分为端口块。默认情况下,每个块都是 512 个端口,但如果配置端口块分配规则,则使用块设置。这些块在集群中的各个节点之间均匀分配,因此每个节点都有一个或多个块对应 PAT 池中的每个 IP 地址。因此,在一个集群的 PAT 池中可以最少拥有一个 IP 地址,只要这足以支持您预期的 PAT 连接数即可。端口块覆盖的端口范围为 1024-65535,除非您在 PAT 池 NAT 规则中配置该选项以包含保留的端口 1-1023。
-
在多个规则中重复使用 PAT 池 - 要在多条规则中使用同一 PAT 池,必须注意规则中的接口选择。必须在所有规则中使用特定接口,或者在所有规则中使用“任意”接口。不能在规则中混合使用特定接口和“任意”接口,否则系统可能无法将返回流量与集群中的正确节点进行匹配。每条规则使用唯一的 PAT 池是最可靠的方案。
-
不使用轮询 - 集群不支持 PAT 池轮询。
-
无扩展 PAT - 集群不支持扩展 PAT。
-
控制节点管理的动态 NAT 转换 - 控制节点保留转换表并复制到数据节点。当数据节点收到需要动态 NAT 的连接并且转换不在表中时,它将请求从控制节点转换。数据节点拥有该连接。
-
过时 xlate - 连接所有者上的 xlate 空闲时间不会更新。因此,空闲时间值可能会超过空闲超时值。如果空闲计时器值高于配置的超时值(refcnt 为 0),则表示 xlate 过时。
-
对以下检查不使用静态 PAT:
-
FTP
-
RSH
-
SQLNET
-
TFTP
-
XDMCP
-
SIP
-
-
如果您有大量 NAT 规则(超过一万条),则应使用设备 CLI 中的 asp rule-engine transactional-commit nat 命令启用事务提交模型。否则,节点可能无法加入集群。
动态路由
路由过程仅在控制节点上运行,并且通过控制节点学习路线后复制到数据节点。如果路由数据包到达数据节点,它将重定向到控制节点。
在数据节点向控制节点学习路线后,每个节点将单独做出转发决策。
OSPF LSA 数据库不会从控制节点同步到数据节点。如果切换了控制节点,邻近路由器将检测到重新启动;切换是不透明的。OSPF 进程将挑选一个 IP 地址作为其路由器 ID。您可以分配一个静态路由器 ID,尽管不要求这样做,但这可以确保整个集群中使用的路由器 ID 一致。请参阅 OSPF 无间断转发功能,解决中断问题。
SIP 检测和集群
控制流可以在任何节点上创建(由于负载均衡),但其子数据流必须位于同一节点上。
SNMP 和集群
您应始终使用本地地址而非主集群 IP 地址进行 SNMP 轮询。如果 SNMP 代理轮询主集群 IP 地址,则当选举出新的控制节点时,对新控制节点的轮询将失败。
当使用 SNMPv3 进行集群时,如果您在初始集群形成后添加新的集群节点,则 SNMPv3 用户不会复制到新节点。您必须删除用户并重新添加,然后重新部署配置,以强制用户复制到新节点。
系统日志和集群
-
集群中的每个节点都会生成自己的系统日志消息。您可以配置日志记录,使每个节点在系统日志消息的报头字段中使用相同或不同的设备 ID。例如,集群中的所有节点都会复制和共享主机名配置。如果将日志记录配置为使用主机名作为设备 ID,则所有节点生成的系统日志消息都会看似来自一个节点。如果将日志记录配置为使用集群引导程序配置中指定的本地节点名称作为设备 ID,系统日志消息就会看似来自不同节点。
思科 TrustSec 和集群
只有控制节点学习安全组标记 (SGT) 信息。然后,控制节点将 SGT 填充到数据节点,数据节点可以根据安全策略对 SGT 做出匹配决策。
VPN 和集群
站点间 VPN 是集中功能;只有控制节点支持 VPN 连接。
注 |
集群不支持远程访问 VPN。 |
VPN 功能仅限控制节点使用,且不能利用集群的高可用性功能。如果控制节点发生故障,所有现有的 VPN 连接都将断开,VPN 用户将遇到服务中断。选择新的控制节点后,必须重新建立 VPN 连接。
将 VPN 隧道连接到跨网络 EtherChannel 地址时,连接会自动转移到控制节点。
与 VPN 相关的密钥和证书将被复制到所有节点。
性能换算系数
将多台设备组成一个集群时,预计可以达到近似 80% 最大组合吞吐量的集群总体性能。
例如,如果您的型号在单独运行时可以处理大约 10 Gbps 的流量,则对于 8 台设备的集群,最大组合吞吐量约为 80 Gbps(8 台设备 x 10 Gbps)的 80%:64 Gbps。
控制节点选择
集群节点通过集群控制链路通信,如下选举控制节点:
-
当为节点启用集群(或当节点首次启动时已启用集群)时,设备会每 3 秒广播一个选举请求。
-
具有较高优先级的任何其他设备都会响应选举请求;优先级设置在 1 和 100 之间,其中 1 为最高优先级。
-
如果某节点在 45 秒后未收到另一个具有较高优先级的节点的响应,则该设备会成为控制节点。
注
如果多个节点并列获得最高优先级,则使用集群节点名称和序列号确定控制节点。
-
如果节点稍后加入具有更高优先级的集群,它不会自动成为控制节点;现有控制节点始终保持为控制节点,除非它停止响应,此时会选择新的控制节点。
-
在“裂脑”场景中,当临时存在多个控制节点时,具有最高优先级的节点将会保留角色,而其他节点则恢复为数据节点角色。
注 |
您可以手动强制节点成为控制节点。对集中功能而言,如果强制更改控制节点,则所有连接都将断开,而您必须在新的控制节点上重新建立连接。 |
集群中的高可用性
集群通过监控节点和接口的运行状况并在节点之间复制连接状态来提供高可用性。
节点运行状况监控
每个节点通过集群控制链路定期发送广播保持连接心跳数据包。如果控制节点在可配置的超时期限内未从数据节点接收任何keepalive心跳数据包或其他数据包,则控制节点会从集群中删除该数据节点。如果数据节点未从控制节点接收数据包,则从其余节点中选择新的控制节点。
如果节点因为网络故障而不是因为节点实际故障而无法通过集群控制链路相互访问,则集群可能会进入“裂脑”场景,其中隔离的数据节点将选择自己的控制节点。例如,如果路由器在两个集群位置之间发生故障,则位于位置1的原始控制节点将从集群中删除位置2数据节点。同时,位置2的节点将选择自己的控制节点并形成自己的集群。请注意,在这种情况下,非对称流量可能会失败。恢复集群控制链路后,优先级较高的控制节点将保留控制节点的角色。
有关详细信息,请参阅控制节点选择。
接口监控
每个节点都会监控使用中的所有已命名的硬件接口的链路状态,并向控制节点报告状态更改。
-
跨网络 EtherChannel - 使用集群链路聚合控制协议 (cLACP)。每个节点都会监控链路状态和 cLACP 协议消息,以便确定 EtherChannel 中的端口是否仍处于活动状态。状态会报告给控制节点。
当您启用运行状况监控时,默认情况下会监控有物理接口(包括主要的 EtherChannel);您可以选择按接口禁用监控。只能监控已命名接口。例如,已命名的 EtherChannel 必须发生故障,才能将其视为发生故障,这意味着 EtherChannel 的所有成员端口必须发生故障才能触发集群删除。
如果某个节点被监控的接口发生故障,则将从集群中删除该设备。威胁防御 在多长时间后从集群中删除成员取决于该节点是既定成员还是正在加入集群的设备。如果既定成员上的接口关闭,威胁防御 将在 9 秒后删除该成员。威胁防御 在节点加入集群后的最初 90 秒不监控接口。在此期间的接口状态更改不会导致 威胁防御从集群中删除。如果是非 EtherChannel,则无论节点的成员状态如何,都会在 500 毫秒后删除设备。
发生故障后的状态
当集群中的节点发生故障时,该节点承载的连接将无缝转移到其他节点;流量的状态信息将通过控制节点的集群控制链路共享。
如果控制节点发生故障,则优先级最高(数字最小)的另一个集群成员将成为控制节点。
威胁防御将自动尝试重新加入集群,具体取决于故障事件。
注 |
当 威胁防御 变成不活动状态且无法自动重新加入集群时,所有数据接口都会关闭,仅管理接口可以发送和接收流量。 |
重新加入集群
当集群成员从集群中删除之后,如何才能重新加入集群取决于其被删除的原因:
-
集群控制链路在最初加入时出现故障 - 在解决集群控制链路存在的问题后,您必须通过重新启用集群来手动重新加入集群。
-
加入集群后出现故障的集群控制链路 - FTD 无限期地每 5 分钟自动尝试重新加入。
-
数据接口发生故障 - 威胁防御 会依次在第 5 分钟、第 10 分钟和第 20 分钟时自动尝试重新加入。如果在 20 分钟后未成功加入,则 威胁防御应用会禁用集群。在解决数据接口的问题之后,必须手动启用集群。
-
节点存在故障 - 如果节点因节点运行状况检查失败而从集群中删除,则如何重新加入集群取决于失败的原因。例如,临时电源故障意味着节点会在重新启动后重新加入集群,只要集群控制链路开启即可。威胁防御应用会每隔 5 秒尝试一次重新加入集群。
-
内部错误 - 内部故障包括:应用同步超时;应用状态不一致等。 当您解决此问题后,必须通过重新启用集群来手动重新加入集群。
-
失败的配置部署-如果从 FMC 部署新配置,并且在某些集群成员上部署失败,但在其他集群成员上成功部署,则从集群中删除失败的节点。您必须通过重新启用集群来手动重新加入集群。如果控制节点上的部署失败,则会回滚部署,并且不会删除任何成员。如果在所有数据节点上部署失败,则会回滚部署,并且不会删除成员。
数据路径连接状态复制
每个连接在集群中都有一个所有者和至少一个备用所有者。备用所有者在发生故障时不会接管连接;而是存储 TCP/UDP 状态信息,使连接在发生故障时可以无缝转移到新的所有者。备用所有者通常也是导向器。
有些流量需要 TCP 或 UDP 层以上的状态信息。请参阅下表了解支持或不支持此类流量的集群。
|
流量 |
状态支持 |
备注 |
|---|---|---|
|
运行时间 |
是 |
跟踪系统运行时间。 |
|
ARP 表 |
是 |
- |
|
MAC 地址表 |
是 |
- |
|
用户标识 |
是 |
— |
|
IPv6 邻居数据库 |
兼容 |
— |
|
动态路由 |
兼容 |
— |
|
SNMP 引擎 ID |
否 |
- |
集群管理连接的方式
连接可以负载平衡到集群的多个节点。连接角色决定了在正常操作中和高可用性情况下处理连接的方式。
连接角色
请参阅为每个连接定义的下列角色:
-
所有者 - 通常为最初接收连接的节点。所有者负责维护 TCP 状态并处理数据包。一个连接只有一个所有者。如果原始所有者发生故障,则当新节点从连接接收到数据包时,导向器会从这些节点中选择新的所有者。
-
备用所有者 - 存储从所有者接收的 TCP/UDP 状态信息的节点,以便在出现故障时可以无缝地将连接转移到新的所有者。在发生故障时,备用所有者不会接管连接。如果所有者处于不可用状态,从该连接接收数据包的第一个节点(根据负载均衡而定)联系备用所有者获取相关的状态信息,以便成为新的所有者。
只要导向器(见下文)与所有者不是同一节点,导向器也可以是备用所有者。如果所有者选择自己作为导向器,则选择一个单独的备用所有者。
对于 Firepower 9300 上的在一个机箱中包括多达 3 个集群节点的集群,如果备用所有者与所有者在同一机箱上,则将从另一个机箱中选择一个额外的备用所有者来保护流量免受机箱故障的影响。
-
导向器 - 处理来自转发器的所有者查找请求的节点。当所有者收到新连接时,会根据源/目的 IP 地址和端口的散列值(有关 ICMP 散列详细信息,请参见下文)选择导向器,然后向导向器发送消息来注册该新连接。如果数据包到达除所有者以外的任何其他节点,该节点会向导向器查询哪一个节点是所有者,以便转发数据包。一个连接只有一个导向器。如果导向器发生故障,所有者会选择一个新的导向器。
只要导向器与所有者不是同一节点,导向器也可以是备用所有者(见上文)。如果所有者选择自己作为导向器,则选择一个单独的备用所有者。
ICMP/ICMPv6 散列详细信息:
-
对于 Echo 数据包,源端口为 ICMP 标识符,目的端口为 0。
-
对于 Reply 数据包,源端口为 0,目的端口为 ICMP 标识符。
-
对于其他数据包,源端口和目的端口均为 0。
-
-
转发器 - 向所有者转发数据包的节点。如果转发者收到并非其所有的连接的数据包,则会向导向器查询所有者,然后为其收到的此连接的任何其他数据包建立发往所有者的流量。导向器也可以是转发者。请注意,如果转发者收到 SYN-ACK 数据包,它可以从数据包的 SYN Cookie 直接获知所有者,因此无需向导向器查询。(如果禁用 TCP 序列随机化,则不会使用 SYN Cookie;必须向导向器查询。)对于 DNS 和 ICMP 等持续时间极短的流量,转发者不会查询,而是立即将数据包发送到导向器,然后由其发送到所有者。一个连接了可以有多个转发器;采用良好的负载均衡方法可以做到没有转发器,让一个连接的所有数据包都由所有者接收,从而实现最高效率的吞吐量。
注
不建议您在使用集群时禁用 TCP 序列随机化。由于 SYN/ACK 数据包可能会被丢弃,因此少数情况下可能无法建立某些 TCP 会话。
-
分段所有者 - 对于分段的数据包,接收分段的集群节点使用分段源 IP 地址、目的 IP 地址和数据包 ID 的散列确定分段所有者。然后,所有片段都通过集群控制链路转发给片段所有者。片段可能均衡分发给不同的集群节点,因为只有第一个分段包含交换机负载均衡散列中使用的 5 元组。其他片段不包含源端口和目的端口,可能会均衡分发给其他集群节点。片段所有者临时重组数据包,以便根据源/目标 IP 地址和端口的散列来确定导向器。如果是新连接,则片段所有者将注册为连接所有者。如果是现有连接,则片段所有者将所有片段转发给集群控制链路上提供的连接所有者。然后,连接所有者将重组所有片段。
新连接所有权
通过负载均衡将新连接定向到集群节点时,该连接的两个方向都由此节点所有。如果该连接有任何数据包到达其他节点,这些数据包都会通过集群控制链路被转发到所有者节点。如果反向流量到达其他节点,会被重定向回原始节点。
TCP 的数据流示例
以下图例显示了新连接的建立。
-
SYN 数据包从客户端发出,被传送到一台 威胁防御(基于负载均衡方法),该设备将成为所有者。所有者创建一个流量,将所有者信息编码为 SYN Cookie,然后将数据包转发到服务器。
-
SYN-ACK 数据包从服务器发出,被传送到一台不同的 威胁防御(基于负载均衡方法)。此 威胁防御是转发者。
-
由于转发器不是该连接的所有者,因此它将解码 SYN Cookie 中的所有者信息,然后创建发往所有者的转发流量,并将 SYN-ACK 数据包转发到所有者。
-
所有者将状态更新发送到导向器,然后将 SYN-ACK 数据包转发到客户端。
-
导向器接收来自所有者的状态更新,创建发往所有者的流量,并记录 TCP 状态信息以及所有者。导向器将充当该连接的备用所有者。
-
传送到转发器的任何后续数据包都会被转发到所有者。
-
如果数据包被传送到任何其他节点,它将向导向器查询所有者并建立一个流量。
-
该流量的任何状态更改都会导致所有者向导向器发送状态更新。
ICMP 和 UDP 的数据流示例
以下图例显示了新连接的建立。
-
图 34. ICMP 和 UDP 数据流 
-
收到第一个数据包的节点查询基于源/目的 IP 地址和端口的散列值选择的导向器节点。
-
导向器找不到现有流,创建导向器流并将数据包转发回前一个节点。换句话说,导向器已为此流选择了所有者。
-
所有者创建流,向导向器发送状态更新,然后将数据包转发到服务器。
-
第二个 UDP 数据包从服务器发出,并被传送到转发器。
-
转发器向导向器查询所有权信息。对于 DNS 等持续时间极短的流量,转发者不会查询,而是立即将数据包发送到导向器,然后由其发送到所有者。
-
导向器向转发器回复所有权信息。
-
转发器创建转发流以记录所有者信息,并将数据包转发给所有者。
-
所有者将数据包转发到客户端。
集群历史记录
|
功能 |
最低 管理中心 |
最低 威胁防御 |
详情 |
||
|---|---|---|---|---|---|
|
集群控制链路 ping 工具。 |
7.4.1 |
任意 |
您可以通过执行 ping 来检查是否所有集群节点都能通过集群控制链路相互连接。节点无法加入集群的一个主要原因是集群控制链路配置不正确,例如,集群控制链路 MTU 设置可能高于连接交换机的 MTU。 新增/修改的屏幕: > 更多( 其他版本限制:不支持管理中心版本 7.3.x 或 7.4.0。 |
||
|
故障排除文件生成和下载可从“设备”(Device) 和“集群”(Cluster) 页面获取。 |
7.4.1 |
7.4.1 |
您可以在“设备”(Device) 页面上为每个设备以及在“集群”(Cluster) 页面上为所有集群节点生成和下载故障排除文件。对于集群,您可以将所有文件下载为一个压缩文件。您还可以为集群节点添加集群的集群日志。您也可以从 > 更多( 新增/修改的菜单项: |
||
|
当节点未能加入集群时,自动在该节点上生成故障排除文件。 |
7.4.1 |
7.4.1 |
如果节点未能加入集群,系统将自动为该节点生成故障排除文件。您可以从任务 (Tasks) 或集群 (Cluster) 页面下载该文件。 |
||
|
查看设备或设备集群的 CLI 输出。 |
7.4.1 |
任意 |
您可以查看一组预定义的 CLI 输出,帮助您排除设备或集群的故障。您还可以输入任何 show 命令并查看输出。 新增/修改的屏幕: |
||
|
Cisco Secure Firewall 4200 的集群 |
7.4.0 |
7.4.0 |
Cisco Secure Firewall 4200 支持最多 8 个节点的跨区以太网通道集群。 |
||
|
集群运行状况监控设置 |
7.3.0 |
任意 |
您现在可以编辑集群运行状况监控设置。 新增/修改的屏幕:
|
||
|
集群运行状况监控器控制面板 |
7.3.0 |
任意 |
您现在可以在集群运行状况监控控制面板上查看集群运行状况。 新增/修改的屏幕:系统( |
||
|
集群控制链路 MTU 的自动配置 |
7.2.0 |
7.2.0 |
集群控制链路接口的 MTU 现在会被自动设置为比最高数据接口 MTU 多 100 个字节;默认情况下,MTU 为 1600 字节。 |
||
|
Cisco Secure Firewall 3100 的集群 |
7.1.0 |
7.1.0 |
Cisco Secure Firewall 3100 支持最多 8 个节点的跨区以太网通道集群。 新增/修改的屏幕:
支持的平台:Cisco Secure Firewall 3100 |
反馈