上为威胁防御部署集群适用于 Cisco Secure Firewall 3100 的集群

集群允许您将多个威胁防御设备作为单一逻辑设备组合到一起。集群具有单个设备的全部便捷性（管理、集成到一个网络中），同时还能实现吞吐量增加和多个设备的冗余性。

注	使用集群时，有些功能不受支持。请参阅集群不支持的功能。

关于 Cisco Secure Firewall 3100的集群

本节介绍集群架构及其工作原理。

集群如何融入网络中

集群包含多台防火墙，作为单一设备工作。要用作集群，该防火墙需要以下基础设施：

独立的高速背板网络（称为集群控制链路）用于集群内的通信。
对每台防火墙的管理访问权限，用于进行配置和监控。

将集群接入网络中时，上游和下游路由器需要能够使用跨网络 EtherChannel 使出入集群的数据实现负载均衡：将多个集群成员上的接口分组为一个 EtherChannel；EtherChannel 在设备之间执行负载均衡。

控制和数据节点角色

一个集群成员是控制节点。如果多个集群节点同时上线，则控制节点由中的优先级设置决定；优先级可设置为 1 到 100，其中 1 为最高优先级。所有其他成员都是数据节点。首次创建集群时，您可以指定要成为控制节点的节点，因为它是添加到集群的第一个节点，所以它将成为控制节点。

集群中的所有节点共享同一个配置。您最初指定为控制节点的节点将在数据节点加入集群时覆盖数据节点上的配置，因此您只需在形成集群之前在控制节点上执行初始配置。

有些功能在集群中无法扩展，控制节点将处理这些功能的所有流量。

集群接口

您可以将每个机箱的一个或多个接口组成跨集群中所有机箱的 EtherChannel。EtherChannel 汇聚通道中所有可用活动接口上的流量。在路由模式和透明防火墙模式下均可配置跨区以太网通道。在路由模式下，EtherChannel 配置为具有单个 IP 地址的路由接口。在透明模式下，IP 地址分配到 BVI 而非网桥组成员接口。负载均衡属于 EtherChannel 固有的基本操作。

集群控制链路

每台设备至少必须将一个硬件接口专门用作集群控制链路。我们建议将 EtherChannel 用于集群控制链路（如果可用）。

集群控制链路流量概述

集群控制链路流量包括控制流量和数据流量。

控制流量包括：

控制节点选举。
配置复制。
运行状况监控。

数据流量包括：

状态复制。
连接所有权查询和数据包转发。

集群控制链路接口和网络

您可以将任何物理接口或 EtherChannel 用于集群控制链路。VLAN 子接口不能用作集群控制链路。您也无法使用管理/诊断接口。

每条集群控制链路都有一个属于同一子网的 IP 地址。此子网应与所有其他流量隔离，并且只包括集群控制链路接口。

注	对于有 2 个成员的集群，请勿将集群控制链路从一个节点直接连接到另一个节点。如果直接连接两个接口，则当一台设备发生故障时，集群控制链路失效，会导致剩下的那台正常设备也发生故障。而如果通过交换机连接集群控制链路，则集群控制链路仍会对正常设备打开。如果需要直接连接设备（例如，出于测试目的），则应在形成集群之前在两个节点上配置并启用集群控制链路接口。

确定集群控制链路规格

如果可能，应将集群控制链路的大小设定为与每个机箱的预期吞吐量匹配，以使集群控制链路可以处理最坏情况。

集群控制链路流量主要由状态更新和转发的数据包组成。集群控制链路在任一给定时间的流量大小不尽相同。转发流量的大小取决于负载均衡的效率或是否存在大量用于集中功能的流量。例如：

NAT 会使连接的负载均衡不佳，需要对所有返回流量进行再均衡，将其转发到正确的设备。
当成员身份更改时，集群需要对大量连接进行再均衡，因此会暂时耗用大量集群控制链路带宽。

带宽较高的集群控制链路可以帮助集群在发生成员身份更改时更快地收敛，并防止出现吞吐量瓶颈。

注	如果集群中存在大量不对称（再均衡）流量，应增加集群控制链路的吞吐量大小。

集群控制链路冗余

下图显示了如何在虚拟交换系统 (VSS)、虚拟端口通道 (vPC)、StackWise 或 StackWise Virtual 环境中使用 EtherChannel 作为集群控制链路。EtherChannel 中的所有链路都是活动链路。如果交换机是冗余系统的一部分，则您可以将同一个 EtherChannel 中的防火墙接口连接到冗余系统中单独的交换机。交换机接口是同一个 EtherChannel 端口通道接口的成员，因为两台不同的交换机的行为就像一台交换机一样。请注意，此 EtherChannel 是设备本地的，而非跨网络 EtherChannel。

集群控制链路可靠性

为了确保集群控制链路的功能，设备之间的往返时间 (RTT) 务必要小于 20 毫秒。此最大延迟能够增强与不同地理位置安装的集群成员的兼容性。要检查延迟，请在设备之间的集群控制链路上执行 ping 操作。

集群控制链路必须可靠，没有数据包无序或丢弃数据包的情况；例如，站点间部署应使用专用链路。

配置复制

集群中的所有节点共享一个配置。您只能在控制节点上进行配置更改（引导程序配置除外），这些更改会自动同步到集群中的所有其他节点。

管理网络

您必须使用管理接口来管理每个节点；集群不支持从数据接口进行管理。

集群许可证

您可以将功能许可证分配到整个集群，而不是单个节点。但是，对于每个功能，集群中的每个节点都会使用一个单独的许可证。集群功能本身不需要任何许可证。

在将控制节点添加到管理中心时，您可以指定要用于该集群的功能许可证。在创建集群之前，将哪些许可证分配给数据节点并不重要；控制节点的许可证设置将复制到每个数据节点。您可以在设备 > 设备管理 > 集群 > 许可证区域中修改集群的许可证。

注	如果在管理中心获得许可（并在评估模式下运行）之前添加了集群，当您许可管理中心时，会在将策略更改部署到集群时遇到流量中断的情况。更改为许可模式会导致所有数据单元先退出集群，然后重新加入。

集群要求和必备条件

型号要求

Secure Firewall 3100 - 最多 8 台设备

用户角色

管理员
访问管理员
网络管理员

硬件和软件要求

集群中的所有设备：

必须是相同型号。
必须包含相同的接口。
必须从管理接口访问管理中心；不支持数据接口管理。
除在映像升级时以外，必须运行完全相同的软件。支持无中断升级。
必须处于相同的防火墙模式（路由或透明）。
必须在同一域中。
必须在同一组中。
不得有任何待处理或进行中的部署。
控制节点不得配置任何不受支持的功能（请参阅集群不支持的功能）。
数据节点不得配置任何 VPN。控制节点可以配置站点间 VPN。

交换机要求

请务必完成交换机配置后再配置集群。确保连接到集群控制链路的端口配置了正确（更高）的 MTU。默认情况下，集群控制链路 MTU 会被设置为比数据接口高 100 字节。如果交换机的 MTU 不匹配，则集群形成将失败。

面向集群的指导原则

防火墙模式

所有设备上的防火墙模式必须匹配。

高可用性

集群不支持高可用性。

IPv6

集群控制链路只有在使用 IPv4 时才受支持。

交换机

确保连接的交换机与集群数据接口和集群控制链路接口的 MTU 匹配。您应将集群控制链路接口 MTU 配置为比数据接口 MTU 至少高 100 字节，因此请确保适当配置集群控制链路连接的交换机。由于集群控制链路流量包括数据包转发，因此集群控制链路需要能够容纳完整大小的数据包以及集群流量开销。
对于 Cisco IOS XR 系统，如果要设置非默认 MTU，请将 IOS XR 接口 MTU 设置为比集群设备 MTU 高 14 字节。除非使用 mtu-ignore 选项，否则 OSPF 邻近对等尝试可能会失败。请注意，集群设备 MTU 应与 IOS XR IPv4 MTU 匹配。Cisco Catalyst 和 Cisco Nexus 交换机不需要进行这种调整。
在用于集群控制链路接口的交换机上，您可以选择在连接到集群设备的交换机端口上启用生成树 PortFast 来加快新设备加入集群的过程。
在交换机上，我们建议使用以下其中一种 EtherChannel 负载均衡算法：source-dest-ip 或 source-dest-ip-port （请参阅思科 Nexus OS 和思科 IOS-XE port-channel load-balance 命令）。请勿在负载均衡算法中使用关键字 vlan，否则会导致传输到集群中的设备的流量分摊不均。
如果在交换机上更改 EtherChannel 的负载均衡算法，则交换机上的 EtherChannel 接口将暂时停止转发流量，生成树协议重新启动。在流量再次开始传输之前会存在延迟。
集群控制链路路径上的交换机不应验证第 4 层校验和。集群控制链路上的重定向流量没有正确的第 4 层校验和。交换机验证第 4 层校验和可能导致流量被丢弃。
端口通道绑定中断时间不得超过配置的 keepalive 间隔。
在 Supervisor 2T EtherChannel 上，默认的散列值分配算法是自适应算法。为了避免 VSS 设计中的非对称流量，请将连接到集群设备的端口通道上的散列算法更改为固定：

router(config)# port-channel id hash-distribution fixed

请勿全局更改算法；您可能需要对 VSS 对等链路使用自适应算法。

您应在所有面向集群的 EtherChannel 接口上为思科 Nexus 交换机禁用 LACP Graceful Convergence 功能。

EtherChannel

在低于 15.1(1)S2 的 Catalyst 3750-X 思科 IOS 软件版本中，此集群设备不支持将 EtherChannel 连接到交换机堆叠。在默认交换机设置下，如果跨堆栈连接集群设备 EtherChannel，则当控制设备交换机关闭时，连接到其余交换机的 EtherChannel 不会正常工作。要提高兼容性，请将 stack-mac persistent timer 命令设置为足够大的值，以将重载时间计算在内；例如，可将其设置为 8 分钟，或设置为 0 以表示无穷大。或者，您可以升级到更加稳定的交换机软件版本，例如 15.1(1)S2。
跨网络与设备本地 EtherChannel 配置 - 请务必为跨区以太网通道和设备本地 EtherChannel 适当地配置交换机。
- 跨区以太网通道 - 对于跨越所有集群成员的集群设备跨网络 EtherChannel，所有接口在交换机上合并为一个 EtherChannel。请确保每个接口都属于交换机上的同一个通道组。
- 设备本地 EtherChannel - 对于集群设备本地 EtherChannels，包括为集群控制链路配置的任何 EtherChannel，请务必在交换机上配置分散的 EtherChannel；请勿在交换机上将多个集群设备 EtherChannel 合并为一个 EtherChannel。

其他准则

将设备添加到现有集群时或重新加载设备时，会有限地暂时丢弃数据包/断开连接；这是预期行为。有些时候，丢弃的数据包会挂起连接；例如，丢弃 FTP 连接的 FIN/ACK 数据包将使 FTP 客户端挂起。在此情况下，您需要重新建立 FTP 连接。
如果使用连接到跨网络 EtherChannel 的 Windows 2003 服务器，当系统日志服务器端口关闭且服务器没有限制 ICMP 错误信息时，将会有大量 ICMP 消息被发送回 ASA 集群。这些消息会导致 ASA 集群的某些设备 CPU 使用率极高，进而影响性能。因此，我们建议您限制 ICMP 错误信息。
对于解密的 TLS/SSL 连接，解密状态不同步，如果连接所有者失败，则解密的连接将重置。需要建立新连接以连通新设备。未解密的连接（它们匹配“不解密”规则）不受影响，并且可以正确复制。

集群默认设置

将自动生成 cLACP 系统 ID 且系统优先级默认为 1。
默认情况下，集群运行状况检查功能处于启用状态，保持时间为 3 秒。默认情况下，在所有接口上启用接口运行状况监控。
用于发生故障的集群控制链路的集群自动重新加入功能为每 5 分钟尝试无限次。
用于发生故障的数据接口的集群自动重新加入功能为每 5 分钟尝试 3 次，增量间隔设置为 2。
对于 HTTP 流量，默认启用 5 秒的连接复制延迟。

配置集群

要将集群添加到管理中心，请将每个节点作为独立设备添加到管理中心，在要作为控制节点的设备上配置接口，然后即可形成集群。

连接电缆并将设备添加到管理中心

在配置集群之前，需要先使用电缆连接集群控制链路网络、管理网络和数据网络。将设备添加为管理中心上的独立设备。您还可以将集群控制链路配置为 EtherChannel。

过程

步骤 1

使用电缆连接集群控制链路网络、管理网络和数据网络。

此外，还应配置上游和下游设备。有关如何连接跨区以太网通道的信息，请参阅集群接口。有关集群控制链路的要求，请参阅集群控制链路接口和网络。

步骤 2

将每个节点作为同一域和组中的独立设备添加到管理中心。

请参阅将设备添加到管理中心。您可以创建包含单个设备的集群，然后稍后添加更多节点。您在添加设备时设置的初始设置（许可、访问控制策略）将被控制节点的所有集群节点继承。您将在形成集群时选择控制节点。

步骤 3

(可选) 将集群控制链路配置为 EtherChannel。

在要将其作为控制节点的设备上，选择设备 (Devices) > 设备管理 (Device Management)，然后点击编辑（）。
点击接口 (Interfaces)。
启用成员接口。请参阅启用物理接口并配置以太网参数。
添加 EtherChannel.请参阅配置 EtherChannel。

我们建议对集群控制链路成员接口使用 ON 模式来减少集群控制链路上不必要的流量（默认为主动模式）。由于集群控制链路是单独、稳定的网络，因此无需 LACP 流量开销。注意：我们建议将数据 EtherChannel 设置为 Active 模式。

请不要为集群控制链路配置名称或 IP 地址。您还不能为集群控制链路设置 MTU（因为它还没有名称）。在形成集群后，您可以返回并设置 MTU，该 MTU 至少需要比数据接口高 100 字节。
单击保存。

此时，您可以转至部署 > 部署并将策略部署到所分配的设备。在部署更改之后，更改才生效。

创建集群

从管理中心中的一个或多个设备组成集群。

过程

步骤 1

选择设备 (Devices) > 设备管理 (Device Management)，然后选择添加 (Add) > 添加集群 (Add Cluster)。

出现添加集群向导 (Add Cluster Wizard)。

步骤 2

为控制流量指定集群名称 (Cluster Name) 和身份验证集群密钥 (Cluster Key)。

集群名称 (Cluster Name) - 1 到 38 个字符的 ASCII 字符串。
集群密钥 (Cluster Key) - 1 到 63 个字符的 ASCII 字符串。集群密钥 (Cluster Key) 值用于生成加密密钥。此加密不影响数据路径流量，包括连接状态更新和转发的数据包，它们始终以明文发送。

步骤 3

对于控制节点，请进行以下设置：

节点 (Node) - 选择一开始要作为控制节点的设备。当管理中心形成集群时，它会首先将此节点添加到集群，因此它将成为控制节点。

注	如果您在节点名称旁边看到一个错误（）图标，请点击该图标以查看配置问题。您必须取消建立集群，解决问题，然后再返回到建立集群。例如：图 2. 配置问题要解决上述问题，请删除不支持的 VPN 许可证，并将待处理的配置更改部署到设备。

集群控制链路网络 (Cluster Control Link Network) - 指定 IPv4 子网；此接口不支持 IPv6。指定 24、25、26 或 27 子网。

集群控制链路 (Cluster Control Link) - 选择要用于集群控制链路的物理接口或 EtherChannel。

注	集群控制链路接口的 MTU 会被自动设置为比最高数据接口 MTU 多 100 个字节；默认情况下，MTU 为 1600 字节。如果要增加 MTU，请参阅设备 (Devices) > 设备管理 (Device Management) > 接口 (Interfaces) 页面。确保将连接到集群控制链路的交换机配置为正确（更高）的 MTU；否则，建立集群将失败。

集群控制链路地址 (Cluster Control Link IPv4 Address) - 此字段将自动填充集群控制链路网络上的第一个地址。如果需要，您可以编辑主机地址。
优先级 (Priority) - 设置控制节点选择的此节点的优先级。优先级的值为 1 到 100，其中 1 为最高优先级。即使您将优先级设置为低于其他节点，在首次建立集群时，此节点仍将作为控制节点。
站点 ID (Site ID) -（FlexConfig 功能）输入此节点的站点 ID，范围介于 1 和 8 之间。值 0 表示禁用站点间集群。仅可通过使用 FlexConfig 功能，来配置用于增强冗余性和稳定性的其他站点间集群自定义项目，例如导向器本地化、站点冗余和集群流移动性。

步骤 4

对于数据节点（可选），点击添加数据节点 (Add a data node) 以便将节点添加到集群。

您可以仅使用控制节点建立集群，以便加快集群建立的速度，也可以立即添加所有节点。为每个数据节点设置以下内容：

节点 (Node) - 选择要添加的设备。

注	如果您在节点名称旁边看到一个错误（）图标，请点击该图标以查看配置问题。您必须取消建立集群，解决问题，然后再返回到建立集群。

集群控制链路地址 (Cluster Control Link IPv4 Address) - 此字段将自动填充集群控制链路网络上的下一个地址。如果需要，您可以编辑主机地址。
优先级 (Priority) - 设置控制节点选择的此节点的优先级。优先级的值为 1 到 100，其中 1 为最高优先级。
站点 ID (Site ID) -（FlexConfig 功能）输入此节点的站点 ID，范围介于 1 和 8 之间。值 0 表示禁用站点间集群。仅可通过使用 FlexConfig 功能，来配置用于增强冗余性和稳定性的其他站点间集群自定义项目，例如导向器本地化、站点冗余和集群流移动性。

步骤 5

点击继续。查看摘要 (Summary)，然后点击保存 (Save)。

集群名称显示在设备 (Save) > 设备管理 (Device Management)页面上；展开集群可查看集群节点。

当前正在注册的节点会显示加载图标。

您可以通过点击通知 (Notifications) 图标并选择任务 (Tasks) 来监控集群节点的注册情况。管理中心会在每个节点注册时更新“集群注册”(Cluster Registration) 任务。

步骤 6

通过点击集群的编辑（编辑图标），配置设备特定设置。

大多数配置可以应用于整个集群，而不适用于集群中的节点。例如，可以更改每个节点的显示名称，但只能配置整个集群的接口。

步骤 7

在设备 (Devices) > 设备管理 (Device Management) > 集群 (Cluster) 屏幕中，可以查看集群的常规 (General) 和其他设置。

请参阅常规 (General) 区域中的以下集群特定项：

常规 > 名称-通过点击编辑（）更改集群显示名称。

然后设置名称字段。
常规 (General) > 查看 (View) - 点击查看 (View) 链接以打开集群状态 (Cluster Status) 对话框。

还可在集群状态 (Cluster Status) 对话框中点击协调全部 (Reconcile All)以重新注册数据单元。

步骤 8

在设备 > 设备管理 > 设备上，可从右上方的下拉菜单中选择集群中的每个成员并配置以下设置。

常规 > 名称-通过点击编辑（）更改集群成员显示名称。

然后设置名称字段。
管理 (Management) > 主机 (Host)-如果在设备配置中更改了管理 IP 地址，则必须在管理中心中匹配新的地址以便管理 IP 地址访问网络上的设备。首先禁用连接，编辑管理 (Management) 区域中的主机 (Host) 地址，然后重新启用连接。

配置接口

将数据接口配置为跨区以太网通道。您还可以配置诊断接口，它是唯一可在单个接口模式下运行的接口。

过程

步骤 1

选择设备 > 设备管理，然后点击集群旁边的编辑（编辑图标）。

步骤 2

点击接口 (Interfaces)。

步骤 3

配置跨区以太网通道数据接口。

配置一个或多个 EtherChannel。请参阅配置 EtherChannel。

您可以在 EtherChannel 中包含一个或多个成员接口。由于此 EtherChannel 跨越了所有节点，因此每个节点只需要一个成员接口；但是，为了获得更高的吞吐量和冗余，建议使用多个成员。
(可选) 在 EtherChannel 上配置 VLAN 子接口。本程序的其余部分适用于子接口。请参阅添加子接口。
点击 EtherChannel 接口的编辑（）。

根据配置路由模式接口来配置名称、IP 地址和其他参数，或者对于透明模式，配置网桥组接口。

注	如果集群控制链路接口 MTU 不比数据接口 MTU 高出至少 100 个字节，您将看到必须降低数据接口 MTU 的错误。默认情况下，集群控制链路 MTU 为 1600 字节。如果要增大数据接口的 MTU，请先增大集群控制链路 MTU。

为 EtherChannel 设置手动全局 MAC 地址。点击高级，在主用 Mac 地址字段，输入 H.H.H 格式的 MAC 地址，其中 H 表示 16 位的十六进制数字。

例如，MAC 地址 00-0C-F1-42-4C-DE 将需要输入 000C.F142.4CDE。不得为 MAC 地址设置组播位，即左起第二个十六进制数字不能是奇数。

请勿设置备用 Mac 地址；它会被忽略。

您必须为跨网络 EtherChannel 配置全局 MAC 地址，以避免潜在的网络连接问题：如果是手动配置的 MAC 地址，该 MAC 地址将始终属于当前的控制设备。如果不配置 MAC 地址，则如果控制设备发生更改，新的控制设备会将新的 MAC 地址用于该接口，而这可能导致临时网络故障。
点击确定。对其他数据接口重复上述步骤。

步骤 4

(可选) 配置诊断接口。

诊断接口是唯一可在单个接口模式下运行的接口。例如，对于系统日志消息或 SNMP 可以使用此接口。

选择对象 > 对象管理 > 地址池来添加 IPv4 和/或 IPv6 地址池。请参阅地址池。

至少包含与集群中的设备数量相同的地址。虚拟 IP 地址不属于此池，但需要位于同一网络中。无法提前确定分配到每台设备的确切本地地址。
在设备 > 设备管理 > 接口上，点击诊断接口的编辑（）。
在 IPv4上，输入 IP 地址和掩码。此 IP 地址是集群的固定地址，始终属于当前的控制设备。
从 IPv4 地址池下拉列表中，选择您创建的地址池。
在 IPv6 > 基本， IPv6 地址池下拉列表中，选择您创建的地址池。
按正常方式配置其他接口设置。

步骤 5

点击保存 (Save)。

此时，您可以转至部署 > 部署并将策略部署到所分配的设备。在部署更改之后，更改才生效。

管理集群节点

部署集群后，您可以更改配置和管理集群节点。

添加新的集群节点

您可以将一个或多个新的集群节点添加到现有的集群。

过程

步骤 1	选择设备 (Devices) > 设备管理 (Device Management)，点击集群的更多（），然后选择添加节点 (Add Nodes)。图 8. 添加节点系统将显示管理集群向导 (Manage Cluster Wizard)。
步骤 2	从节点 (Node) 菜单中选择设备，根据需要调整 IP 地址、优先级和站点 ID。图 9. 管理集群向导
步骤 3	要添加其他节点，请点击添加数据节点 (Add a data node)。
步骤 4	点击继续。查看摘要 (Summary)，然后点击保存 (Save) 当前正在注册的节点会显示加载图标。图 10. 节点注册您可以通过点击通知 (Notifications) 图标并选择任务 (Tasks) 来监控集群节点的注册情况。

中断节点

您可以从集群中删除节点，使其成为一个独立设备。除非中断整个集群，否则您无法中断控制节点。数据节点的配置已被清除。

过程

步骤 1

选择设备 (Devices) > 设备管理 (Device Management)，点击您要中断的节点的更多（更多图标），然后选择中断节点 (Break Node)。

您可以选择通过选择中断节点 (Break Nodes) 从集群的“更多”(More) 菜单中断一个或多个节点。

步骤 2

系统会提示您确认中断；点击是 (Yes)。

您可以通过点击通知 (Notifications) 图标并选择任务 (Tasks) 来监控集群节点中断。

中断集群

您可以中断集群并将所有节点都转换为独立设备。控制节点会保留接口和安全策略配置，而数据节点则会清除其配置。

过程

步骤 1

确保所有集群节点都由管理中心通过协调节点来管理。请参阅调整集群节点。

步骤 2

选择设备 (Devices) > 设备管理 (Device Management)，点击集群的更多（更多图标），然后选择中断集群 (Break Cluster)。

步骤 3

系统会提示您断开集群；点击是 (Yes)。

您可以通过点击通知 (Notifications) 图标并选择任务 (Tasks) 来监控集群中断。

禁用集群

您可能需要停用节点，以准备删除节点，或临时进行维护。此程序旨在暂时停用节点；节点仍将显示在管理中心设备列表中。当节点变为非活动状态时，所有数据接口都将关闭。

过程

步骤 1

对于要禁用的设备，请选择设备 (Devices) > 设备管理 (Device Management)，点击更多（更多图标），然后选择禁用节点集群 (Disable Node Clustering)。

如果在控制节点上禁用集群，则其中一个数据节点将成为新的控制节点。请注意，对集中功能而言，如果强制更改控制节点，则所有连接都将断开，而您必须在新的控制节点上重新建立连接。如果控制节点是集群中的唯一节点，则无法在该控制节点上禁用集群。

步骤 2

确认要在节点上禁用集群。

节点将在设备 (Devices) > 设备管理 (Device Management) 列表中的节点名称旁边显示（已禁用）([Disabled])。

步骤 3

重新启用集群，请参阅重新加入集群。

重新加入集群

如果从集群中删除了某个节点（例如对于出现故障的接口），或者如果您手动禁用集群，必须手动将其重新加入集群。确保故障已解决，再尝试重新加入集群。有关可从集群中删除节点的原因的更多信息，请参阅重新加入集群。

过程

步骤 1	对于要重新激活的设备，请选择设备 (Devices) > 设备管理 (Device Management)，点击更多（），然后选择启用节点集群 (Enable Node Clustering)。
步骤 2	确认要在设备上启用集群。

更改控制节点

小心	要更改控制节点，最好的方法是在控制节点上禁用集群，等到新的控制选举后再重新启用集群。如果必须指定要成为控制节点的具体单元，请使用本节中的程序。请注意，对集中功能而言，如果使用任何一种方法来强制更改控制节点，则所有连接都将断开，而您必须在新的控制节点上重新建立连接。

要更改控制节点，请执行以下步骤：

过程

步骤 1

通过依次选择设备 > 设备管理 > 更多（更多图标） >集群实时状态，打开集群状态对话框。

步骤 2

对于要成为控制设备的设备，请选择更多（更多图标） > 将角色更改为控制。

步骤 3

系统将提示您确认角色更改。选中该复选框，然后点击确定。

编辑集群配置

您可以编辑集群配置。如果更改集群密钥、集群控制链路接口或集群控制链路网络，则集群会被自动中断并重组。在重组集群之前，您可能会遇到流量中断。如果您更改节点、节点优先级或站点 ID 的集群控制链路 IP 地址，则只有受影响的节点会断开并重新添加到集群。

过程

步骤 1

选择设备 (Devices) > 设备管理 (Device Management)，点击集群的更多（更多图标），然后选择编辑配置 (Edit Configuration)。

系统将显示管理集群向导 (Manage Cluster Wizard)。

步骤 2

更新集群配置。

如果集群控制链路是 EtherChannel，则可以通过点击接口下拉菜单旁边的编辑（编辑图标）来编辑接口成员身份和 LACP 配置。

步骤 3

点击继续。查看摘要 (Summary)，然后点击保存 (Save)

调整集群节点

如果集群节点注册失败，则可将集群成员身份从设备协调至管理中心。例如，数据节点在管理中心被占用或存在网络问题时注册失败的情况下。

过程

步骤 1

选择集群的设备 > 设备管理 > 更多（更多图标），然后选择集群实时状态来打开集群状态对话框。

步骤 2

点击协调全部 (Reconcile All)。

有关集群状态的详细信息，请参阅监控集群。

删除（注销）集群或节点并注册到新的管理中心

您可以从管理中心中取消注册集群，从而使集群保持不变。如果要将集群添加到新的管理中心，则可能需要取消注册该集群。

您还可以从管理中心取消注册节点，而不会中断集群中的节点。虽然该节点不会显示在管理中心中，但它仍然是集群的一部分，并且它会继续传递流量，甚至可能成为控制节点。您无法取消注册当前的控制节点。如果无法再从管理中心访问该节点，您可能会希望将其取消注册，但在排除管理连接故障时，您仍希望将其作为群集的一部分。

取消注册集群：

会切断管理中心和该集群之间的所有通信。
从设备管理 (Device Management) 页面删除集群。
如果集群的平台设置策略配置为使用 NTP 从管理中心接收时间，则将集群返回本地时间管理。
让配置保持不变，以便集群继续处理流量。

NAT 和 VPN、ACL 等策略以及接口配置保持不变。

将集群再次注册到相同或不同的管理中心会导致配置被删除，因此集群将在该点停止处理流量；集群配置将保持不变，因此您可以将集群作为一个整体添加。您可以在注册时选择访问控制策略，但必须在注册后重新应用其他策略，然后在再次处理流量之前部署配置。

开始之前

此过程需要 CLI 对一个节点拥有访问权限。

过程

步骤 1	选择设备 (Devices) > 设备管理 (Device Management)，点击集群或节点的更多（），然后选择删除 (Delete)。图 21. 删除集群或节点
步骤 2	系统会提示您删除集群或节点；点击是 (Yes)。
步骤 3	您可以通过将其中一个集群成员添加为新设备来将集群注册到新的（或相同的）管理中心。连接到一个集群节点的 CLI，并使用 configure manager add 命令来识别新的管理中心。请参阅在 CLI 中修改威胁防御管理接口。选择设备 (Devices) > 设备管理 (Device Management)，然后点击添加设备 (Add Device)。您只用将其中一个集群节点添加为设备，然后便可发现其余集群节点。
步骤 4	要重新添加已删除的节点，请参阅调整集群节点。

监控集群

您可以在管理中心中和威胁防御 CLI 上监控集群。

集群状态 (Cluster Status) 对话框，可通过设备 (Devices) > 设备管理 (Device Management) > 更多（）图标或从设备 (Devices) > 设备管理 (Device Management) > 集群 (Cluster) 页面 > 常规 (General) 区域 > 集群实时状态 (Cluster Live Status) 链接打开。

图 22. 集群状态

控制节点有一个标识其角色的图形指示器。

集群成员状态包括以下状态：
- 正在同步 (In Sync.) - 节点已向管理中心注册。
- ⁪待处理注册 (Pending Registration) - 节点是集群的一部分，但尚未向管理中心注册。如果节点注册失败，则可点击协调所有 (Reconcile All) 以重试注册。
- 集群已禁用 (Clustering is disabled) - 节点已向管理中心注册，但它是集群的非活动成员。如果您打算稍后重新启用集群配置，集群配置将保持不变，或者您可以从集群中删除节点。
- “正在加入集群...”(Joining cluster...) - 节点正在加入机箱上的集群，但尚未完成加入。设备将在加入集群后向管理中心注册。
对于每个节点，您可以查看摘要 (Summary) 或历史记录 (History)。

图 23. 节点摘要

图 24. 节点历史记录
系统（） > 任务页面。

任务 (Tasks) 页面会在每个节点注册时更新“集群注册”(Cluster Registration) 任务。
设备 (Devices) > 设备管理 (Device Management) > cluster_name。

展开设备列表页面上的集群时，您可以看到所有成员节点，包括 IP 地址旁显示其角色的控制节点。对于仍在注册的节点，则可看到加载图标。
show cluster {access-list [acl_name] | conn [count] | cpu [usage] | history | interface-mode | memory | resource usage | service-policy | traffic | xlate count}

要查看整个集群的聚合数据或其他信息，请使用 show cluster 命令。
show cluster info [auto-join | clients | conn-distribution | flow-mobility counters | goid [options] | health | incompatible-config | loadbalance | old-members | packet-distribution | trace [options] | transport { asp | cp}]

要查看集群信息，请使用 show cluster info 命令。

集群示例

这些示例包含典型部署。

单臂防火墙

来自不同安全域的数据流量与不同的 VLAN 关联，例如，VLAN 10 用于内部网络，而 VLAN 20 用于外部网络。每台都有一个连接到外部交换机或路由器的物理端口。启用中继使物理链路上的所有数据包都采用 802.1q 封装。是 VLAN 10 与 VLAN 20 之间的防火墙。

使用跨网络 EtherChannel 时，所有数据链路在交换机侧分组为一个 EtherChannel。如果一台变得不可用，交换机将在其余设备之间再均衡流量。

流量分隔

您可能更愿意在内部和外部网络之间采用物理方式分离流量。

如上图所示，左侧有一个跨网络 EtherChannel 连接到内部交换机，而右侧的另一个跨网络 EtherChannel 连接到外部交换机。如果需要，您还可以在每个 EtherChannel 上创建 VLAN 子接口。

集群参考

本部分包括有关集群工作原理的详细信息。

威胁防御功能和集群

部分威胁防御功能不受集群支持，还有部分功能仅在控制设备上受支持。其他功能可能对如何正确使用规定了注意事项。

集群不支持的功能

以下功能在启用集群的情况下无法配置，相关命令会被拒绝。

注	要查看集群不支持的 FlexConfig 功能（例如 WCCP 检测），请参阅《ASA常规操作配置指南》。FlexConfig 允许您配置管理中心 GUI 中不存在的许多 ASA 功能。请参阅FlexConfig 策略。

远程接入 VPN（SSL VPN 和 IPsec VPN）
DHCP 客户端、服务器和代理。支持 DHCP 中继。
虚拟隧道接口 (VTIs)
高可用性
集成路由和桥接
FMC UCAPL/CC 模式

集群集中化功能

以下功能只有在控制节点上才受支持，且无法为集群扩展。

注	集中功能的流量从成员节点通过集群控制链路转发到控制节点。如果使用再均衡功能，则会先将集中功能的流量再均衡到非控制节点的设备，然后再将该流量归类为集中功能；如果发生此情况，该流量随后将被发送回控制节点。对集中功能而言，如果控制节点发生故障，则所有连接都将断开，而您必须在新的控制节点上重新建立连接。

注	要查看也通过集群进行集中化的 FlexConfig 功能（例如 RADIUS 检测），请参阅《ASA 常规操作配置指南》。FlexConfig 允许您配置管理中心 GUI 中不存在的许多 ASA 功能。请参阅FlexConfig 策略。

以下应用检查：
- DCERPC
- ESMTP
- NetBIOS
- PPTP
- RSH
- SQLNET
- SUNRPC
- TFTP
- XDMCP
静态路由监控

站点到站点 VPN
IGMP 组播控制平面协议的处理（数据平面转发分布于整个集群中）
PIM 组播控制平面协议的处理（数据平面转发分布于整个集群中）
动态路由

连接设置和集群

连接限制在集群范围强制实施。每个节点都有根据广播消息估计的集群范围的计数器值。出于效率考虑，在集群中配置的连接限制可能不会严格按限制数量实施。每个节点在任何指定时间都可能高估或低估集群范围内的计数器值。不过，在负载均衡的集群中，该信息将随时间而更新。

FTP 和集群

如果 FTP 数据通道和控制通道流量由不同的集群成员所有，则数据通道所有者会将空闲超时更新定期发送到控制通道所有者并更新空闲超时值。但是，如果重新加载控制流量所有者并重新托管控制流量，则不会再保持父/子流量关系；控制流量空闲超时不会更新。

NAT 和集群

NAT 可能会影响集群的总吞吐量。入站和出站 NAT 数据包可被发送到集群中不同的威胁防御，因为负载均衡算法取决于 IP 地址和端口，NAT 会导致入站和出站数据包具有不同的 IP 地址和/或端口。当数据包到达并非 NAT 所有者的威胁防御时，会通过集群控制链路转发到所有者，导致集群控制链路上存在大量流量。请注意，接收节点不会创建流向所有者的转发流量，因为 NAT 所有者最终可能不会根据安全和策略检查结果为数据包创建连接。

如果您仍想在集群中使用 NAT，请考虑以下准则：

PAT 采用端口块分配 - 请参阅该功能的以下准则：
- 每主机最大流量限制并不针对整个集群，而是单独应用于每个节点。因此，在每主机最大流量限制配置为 1 的包含 3 个节点的集群中，如果在全部 3 个节点上对来自主机的流量实行负载均衡，则可以分配 3 个端口块，每个节点 1 个。
- 在执行每主机最大流量限制时，在备份池中的备份节点上创建的端口块不计算在内。
- 如果进行即时 PAT 规则修改（对 PAT 池改用全新的 IP 地址范围），会导致在新的池生效时仍在传输的转换项备份请求的转换项备份创建失败。此行为并非端口块分配功能所特有，它是一个暂时性 PAT 池问题，只发现于在集群节点之间分配池并执行流量负载均衡的集群部署。
- 在集群中操作时，不能直接更改块分配大小。只有在集群中重新加载每个设备后，新的大小才会生效。为避免重新加载每个设备，我们建议您删除所有块分配规则并清除与这些规则相关的所有转换。然后，您可以更改块大小并重新创建块分配规则。
对动态 PAT 使用 NAT 池地址分配 - 配置 PAT 池时，集群将池中的每个 IP 地址划分为端口块。默认情况下，每个块都是 512 个端口，但如果配置端口块分配规则，则使用块设置。这些块在集群中的各个节点之间均匀分配，因此每个节点都有一个或多个块对应 PAT 池中的每个 IP 地址。因此，在一个集群的 PAT 池中可以最少拥有一个 IP 地址，只要这足以支持您预期的 PAT 连接数即可。端口块覆盖的端口范围为 1024-65535，除非您在 PAT 池 NAT 规则中配置该选项以包含保留的端口 1-1023。
在多个规则中重复使用 PAT 池 - 要在多条规则中使用同一 PAT 池，必须注意规则中的接口选择。必须在所有规则中使用特定接口，或者在所有规则中使用“任意”接口。不能在规则中混合使用特定接口和“任意”接口，否则系统可能无法将返回流量与集群中的正确节点进行匹配。每条规则使用唯一的 PAT 池是最可靠的方案。
不使用轮询 - 集群不支持 PAT 池轮询。
无扩展 PAT - 集群不支持扩展 PAT。
控制节点管理的动态 NAT 转换 - 控制节点保留转换表并复制到数据节点。当数据节点收到需要动态 NAT 的连接并且转换不在表中时，它将请求从控制节点转换。数据节点拥有该连接。
过时 xlate - 连接所有者上的 xlate 空闲时间不会更新。因此，空闲时间值可能会超过空闲超时值。如果空闲计时器值高于配置的超时值（refcnt 为 0），则表示 xlate 过时。
对以下检查不使用静态 PAT：
- FTP
- RSH
- SQLNET
- TFTP
- XDMCP
- SIP
如果您有大量 NAT 规则（超过一万条），则应使用设备 CLI 中的 asp rule-engine transactional-commit nat 命令启用事务提交模型。否则，节点可能无法加入集群。

动态路由

路由过程仅在控制节点上运行，并且通过控制节点学习路线后复制到数据节点。如果路由数据包到达数据节点，它将重定向到控制节点。

在数据节点向控制节点学习路线后，每个节点将单独做出转发决策。

OSPF LSA 数据库不会从控制节点同步到数据节点。如果切换了控制节点，邻近路由器将检测到重新启动；切换是不透明的。OSPF 进程将挑选一个 IP 地址作为其路由器 ID。您可以分配一个静态路由器 ID，尽管不要求这样做，但这可以确保整个集群中使用的路由器 ID 一致。请参阅 OSPF 无间断转发功能，解决中断问题。

SIP 检测和集群

控制流可以在任何节点上创建（由于负载均衡），但其子数据流必须位于同一节点上。

SNMP 和集群

SNMP 代理按照诊断接口本地 IP 地址轮询每一个威胁防御。您无法轮询集群的合并数据。

您应始终使用本地地址而非主集群 IP 地址进行 SNMP 轮询。如果 SNMP 代理轮询主集群 IP 地址，则当选举出新的控制节点时，对新控制节点的轮询将失败。

当使用 SNMPv3 进行集群时，如果您在初始集群形成后添加新的集群节点，则 SNMPv3 用户不会复制到新节点。您必须删除用户并重新添加，然后重新部署配置，以强制用户复制到新节点。

系统日志和集群

集群中的每个节点都会生成自己的系统日志消息。您可以配置日志记录，使每个节点在系统日志消息的报头字段中使用相同或不同的设备 ID。例如，集群中的所有节点都会复制和共享主机名配置。如果将日志记录配置为使用主机名作为设备 ID，则所有节点生成的系统日志消息都会看似来自一个节点。如果将日志记录配置为使用集群引导程序配置中指定的本地节点名称作为设备 ID，系统日志消息就会看似来自不同节点。

思科 TrustSec 和集群

只有控制节点学习安全组标记 (SGT) 信息。然后，控制节点将 SGT 填充到数据节点，数据节点可以根据安全策略对 SGT 做出匹配决策。

VPN 和集群

站点到站点 VPN 是集中功能；只有控制节点支持 VPN 连接。

注	集群不支持远程接入 VPN。

VPN 功能仅限控制节点使用，且不能利用集群的高可用性功能。如果控制节点发生故障，所有现有的 VPN 连接都将断开，VPN 用户将遇到服务中断。选择新的控制节点后，必须重新建立 VPN 连接。

将 VPN 隧道连接到跨网络 EtherChannel 地址时，连接会自动转移到控制节点。

与 VPN 相关的密钥和证书将被复制到所有节点。

性能换算系数

将多台设备组成一个集群时，预计可以达到近似 80% 最大组合吞吐量的集群总体性能。

例如，如果您的型号在单独运行时可以处理大约 10 Gbps 的流量，则对于 8 台设备的集群，最大组合吞吐量约为 80 Gbps（8 台设备 x 10 Gbps）的 80%：64 Gbps。

控制节点选择

集群节点通过集群控制链路通信，如下选举控制节点：

当为节点启用集群（或当节点首次启动时已启用集群）时，设备会每 3 秒广播一个选举请求。
具有较高优先级的任何其他设备都会响应选举请求；优先级设置在 1 和 100 之间，其中 1 为最高优先级。

如果某节点在 45 秒后未收到另一个具有较高优先级的节点的响应，则该设备会成为控制节点。

注	如果多个节点并列获得最高优先级，则使用集群节点名称和序列号确定控制节点。

如果节点稍后加入具有更高优先级的集群，它不会自动成为控制节点；现有控制节点始终保持为控制节点，除非它停止响应，此时会选择新的控制节点。
在“裂脑”场景中，当临时存在多个控制节点时，具有最高优先级的节点将会保留角色，而其他节点则恢复为数据节点角色。

注	您可以手动强制节点成为控制节点。对集中功能而言，如果强制更改控制节点，则所有连接都将断开，而您必须在新的控制节点上重新建立连接。

集群中的高可用性

集群通过监控节点和接口的运行状况并在节点之间复制连接状态来提供高可用性。

节点运行状况监控

每个节点通过集群控制链路定期发送广播保持连接心跳数据包。如果控制节点在可配置的超时期限内未从数据节点接收任何keepalive心跳数据包或其他数据包，则控制节点会从集群中删除该数据节点。如果数据节点未从控制节点接收数据包，则从其余节点中选择新的控制节点。

如果节点因为网络故障而不是因为节点实际故障而无法通过集群控制链路相互访问，则集群可能会进入“裂脑”场景，其中隔离的数据节点将选择自己的控制节点。例如，如果路由器在两个集群位置之间发生故障，则位于位置1的原始控制节点将从集群中删除位置2数据节点。同时，位置2的节点将选择自己的控制节点并形成自己的集群。请注意，在这种情况下，非对称流量可能会失败。恢复集群控制链路后，优先级较高的控制节点将保留控制节点的角色。

有关详细信息，请参阅控制节点选择。

接口监控

每个节点都会监控使用中的所有已命名的硬件接口的链路状态，并向控制节点报告状态更改。

跨网络 EtherChannel - 使用集群链路聚合控制协议 (cLACP)。每个节点都会监控链路状态和 cLACP 协议消息，以便确定 EtherChannel 中的端口是否仍处于活动状态。状态会报告给控制节点。

所有物理接口（包括主要的 EtherChannel）只能监控已命名接口。例如，已命名的 EtherChannel 必须发生故障，才能将其视为发生故障，这意味着 EtherChannel 的所有成员端口必须发生故障才能触发集群删除。

如果某个节点被监控的接口发生故障，则将从集群中删除该设备。威胁防御在多长时间后从集群中删除成员取决于以及该节点是既定成员还是正在加入集群的设备。如果既定成员上的接口关闭，威胁防御将在 9 秒后删除该成员。威胁防御在节点加入集群后的最初 90 秒不监控接口。在此期间的接口状态更改不会导致威胁防御从集群中删除。

发生故障后的状态

当集群中的节点发生故障时，该节点承载的连接将无缝转移到其他节点；流量的状态信息将通过控制节点的集群控制链路共享。

如果控制节点发生故障，则优先级最高（数字最小）的另一个集群成员将成为控制节点。

威胁防御将自动尝试重新加入集群，具体取决于故障事件。

注	当威胁防御变成不活动状态且无法自动重新加入集群时，所有数据接口都会关闭，仅管理/诊断接口可以发送和接收流量。

重新加入集群

当集群成员从集群中删除之后，如何才能重新加入集群取决于其被删除的原因：

集群控制链路在最初加入时出现故障 - 在解决集群控制链路存在的问题后，您必须通过重新启用集群来手动重新加入集群。
加入集群后出现故障的集群控制链路 - FTD 无限期地每 5 分钟自动尝试重新加入。
数据接口发生故障 - 威胁防御会依次在第 5 分钟、第 10 分钟和第 20 分钟时自动尝试重新加入。如果在 20 分钟后未成功加入，则威胁防御应用会禁用集群。在解决数据接口的问题之后，必须手动启用集群。
节点存在故障 - 如果节点因节点运行状况检查失败而从集群中删除，则如何重新加入集群取决于失败的原因。例如，临时电源故障意味着节点会在重新启动后重新加入集群，只要集群控制链路开启即可。威胁防御应用会每隔 5 秒尝试一次重新加入集群。
内部错误 - 内部故障包括：应用同步超时；应用状态不一致等。
失败的配置部署-如果从 FMC 部署新配置，并且在某些集群成员上部署失败，但在其他集群成员上成功部署，则从集群中删除失败的节点。您必须通过重新启用集群来手动重新加入集群。如果控制节点上的部署失败，则会回滚部署，并且不会删除任何成员。如果在所有数据节点上部署失败，则会回滚部署，并且不会删除成员。

数据路径连接状态复制

每个连接在集群中都有一个所有者和至少一个备用所有者。备用所有者在发生故障时不会接管连接；而是存储 TCP/UDP 状态信息，使连接在发生故障时可以无缝转移到新的所有者。备用所有者通常也是导向器。

有些流量需要 TCP 或 UDP 层以上的状态信息。请参阅下表了解支持或不支持此类流量的集群。

表 1. 在集群中复制的功能
流量	状态支持	备注
运行时间	是	跟踪系统运行时间。
ARP 表	是	-
MAC 地址表	是	-
用户标识	是	—
IPv6 邻居数据库	是	—
动态路由	是	—
SNMP 引擎 ID	否	-

集群管理连接的方式

连接可以负载平衡到集群的多个节点。连接角色决定了在正常操作中和高可用性情况下处理连接的方式。

连接角色

请参阅为每个连接定义的下列角色：

所有者 - 通常为最初接收连接的节点。所有者负责维护 TCP 状态并处理数据包。一个连接只有一个所有者。如果原始所有者发生故障，则当新节点从连接接收到数据包时，导向器会从这些节点中选择新的所有者。
备用所有者 - 存储从所有者接收的 TCP/UDP 状态信息的节点，以便在出现故障时可以无缝地将连接转移到新的所有者。在发生故障时，备用所有者不会接管连接。如果所有者处于不可用状态，从该连接接收数据包的第一个节点（根据负载均衡而定）联系备用所有者获取相关的状态信息，以便成为新的所有者。

只要导向器（见下文）与所有者不是同一节点，导向器也可以是备用所有者。如果所有者选择自己作为导向器，则选择一个单独的备用所有者。

对于 Firepower 9300 上的在一个机箱中包括多达 3 个集群节点的集群，如果备用所有者与所有者在同一机箱上，则将从另一个机箱中选择一个额外的备用所有者来保护流量免受机箱故障的影响。
导向器 - 处理来自转发器的所有者查找请求的节点。当所有者收到新连接时，会根据源/目的 IP 地址和端口的散列值（有关 ICMP 散列详细信息，请参见下文）选择导向器，然后向导向器发送消息来注册该新连接。如果数据包到达除所有者以外的任何其他节点，该节点会向导向器查询哪一个节点是所有者，以便转发数据包。一个连接只有一个导向器。如果导向器发生故障，所有者会选择一个新的导向器。

只要导向器与所有者不是同一节点，导向器也可以是备用所有者（见上文）。如果所有者选择自己作为导向器，则选择一个单独的备用所有者。

ICMP/ICMPv6 散列详细信息：
- 对于 Echo 数据包，源端口为 ICMP 标识符，目的端口为 0。
- 对于 Reply 数据包，源端口为 0，目的端口为 ICMP 标识符。
- 对于其他数据包，源端口和目的端口均为 0。

转发器 - 向所有者转发数据包的节点。如果转发者收到并非其所有的连接的数据包，则会向导向器查询所有者，然后为其收到的此连接的任何其他数据包建立发往所有者的流量。导向器也可以是转发者。请注意，如果转发者收到 SYN-ACK 数据包，它可以从数据包的 SYN Cookie 直接获知所有者，因此无需向导向器查询。（如果禁用 TCP 序列随机化，则不会使用 SYN Cookie；必须向导向器查询。）对于 DNS 和 ICMP 等持续时间极短的流量，转发者不会查询，而是立即将数据包发送到导向器，然后由其发送到所有者。一个连接了可以有多个转发器；采用良好的负载均衡方法可以做到没有转发器，让一个连接的所有数据包都由所有者接收，从而实现最高效率的吞吐量。

注	不建议您在使用集群时禁用 TCP 序列随机化。由于 SYN/ACK 数据包可能会被丢弃，因此少数情况下可能无法建立某些 TCP 会话。

分段所有者 - 对于分段的数据包，接收分段的集群节点使用分段源 IP 地址、目的 IP 地址和数据包 ID 的散列确定分段所有者。然后，所有片段都通过集群控制链路转发给片段所有者。片段可能均衡分发给不同的集群节点，因为只有第一个分段包含交换机负载均衡散列中使用的 5 元组。其他片段不包含源端口和目的端口，可能会均衡分发给其他集群节点。片段所有者临时重组数据包，以便根据源/目标 IP 地址和端口的散列来确定导向器。如果是新连接，则片段所有者将注册为连接所有者。如果是现有连接，则片段所有者将所有片段转发给集群控制链路上提供的连接所有者。然后，连接所有者将重组所有片段。

新连接所有权

通过负载均衡将新连接定向到集群节点时，该连接的两个方向都由此节点所有。如果该连接有任何数据包到达其他节点，这些数据包都会通过集群控制链路被转发到所有者节点。如果反向流量到达其他节点，会被重定向回原始节点。

TCP 的数据流示例

以下图例显示了新连接的建立。

SYN 数据包从客户端发出，被传送到一台威胁防御（基于负载均衡方法），该设备将成为所有者。所有者创建一个流量，将所有者信息编码为 SYN Cookie，然后将数据包转发到服务器。
SYN-ACK 数据包从服务器发出，被传送到一台不同的威胁防御（基于负载均衡方法）。此威胁防御是转发者。
由于转发器不是该连接的所有者，因此它将解码 SYN Cookie 中的所有者信息，然后创建发往所有者的转发流量，并将 SYN-ACK 数据包转发到所有者。
所有者将状态更新发送到导向器，然后将 SYN-ACK 数据包转发到客户端。
导向器接收来自所有者的状态更新，创建发往所有者的流量，并记录 TCP 状态信息以及所有者。导向器将充当该连接的备用所有者。
传送到转发器的任何后续数据包都会被转发到所有者。
如果数据包被传送到任何其他节点，它将向导向器查询所有者并建立一个流量。
该流量的任何状态更改都会导致所有者向导向器发送状态更新。

ICMP 和 UDP 的数据流示例

以下图例显示了新连接的建立。

图 26. ICMP 和 UDP 数据流

第一个 UDP 数据包从客户端发出，被传送到一个威胁防御（基于负载均衡方法）。
收到第一个数据包的节点查询基于源/目的 IP 地址和端口的散列值选择的导向器节点。
导向器找不到现有流，创建导向器流并将数据包转发回前一个节点。换句话说，导向器已为此流选择了所有者。
所有者创建流，向导向器发送状态更新，然后将数据包转发到服务器。
第二个 UDP 数据包从服务器发出，并被传送到转发器。
转发器向导向器查询所有权信息。对于 DNS 等持续时间极短的流量，转发者不会查询，而是立即将数据包发送到导向器，然后由其发送到所有者。
导向器向转发器回复所有权信息。
转发器创建转发流以记录所有者信息，并将数据包转发给所有者。
所有者将数据包转发到客户端。

集群历史记录


特性	Version	详细信息
集群控制链路 MTU 的自动配置	7.2	集群控制链路接口的 MTU 现在会被自动设置为比最高数据接口 MTU 多 100 个字节；默认情况下，MTU 为 1600 字节。
Cisco Secure Firewall 3100 的集群	7.1	Cisco Secure Firewall 3100 支持最多 8 个节点的跨区以太网通道集群。新增/修改的屏幕：设备 > 设备管理 > 添加集群设备 > 设备管理 > 更多菜单设备 (Devices) > 设备管理 (Device Management) > 集群 (Cluster) 支持的平台：Cisco Secure Firewall 3100

Cisco Secure Firewall Management Center 设备配置指南，7.2

非歧视性语言

当地语言翻译版本说明

Results

Chapter: 上为 威胁防御 部署集群适用于 Cisco Secure Firewall 3100 的集群

上为 威胁防御 部署集群适用于 Cisco Secure Firewall 3100 的集群

关于 Cisco Secure Firewall 3100的集群

集群如何融入网络中

控制和数据节点角色

集群接口

集群控制链路

集群控制链路流量概述

集群控制链路接口和网络

确定集群控制链路规格

集群控制链路冗余

集群控制链路可靠性

配置复制

管理网络

集群许可证

集群要求和必备条件

型号要求

用户角色

硬件和软件要求

交换机要求

面向集群的指导原则

防火墙模式

高可用性

IPv6

交换机

EtherChannel

其他准则

集群默认设置

配置集群

连接电缆并将设备添加到管理中心

过程

创建集群

过程

配置接口

过程

管理集群节点

添加新的集群节点

过程

中断节点

过程

中断集群

过程

禁用集群

过程

重新加入集群

过程

更改控制节点

过程

编辑集群配置

过程

调整集群节点

过程

删除（注销）集群或节点并注册到新的管理中心

开始之前

过程

监控集群

集群示例

单臂防火墙

流量分隔

集群参考

威胁防御功能和集群

集群不支持的功能

集群集中化功能

连接设置和集群

FTP 和集群

NAT 和集群

动态路由

SIP 检测和集群

SNMP 和集群

系统日志和集群

思科 TrustSec 和集群

VPN 和集群

性能换算系数

控制节点选择

集群中的高可用性

节点运行状况监控

Chapter: 上为威胁防御部署集群适用于 Cisco Secure Firewall 3100 的集群

上为威胁防御部署集群适用于 Cisco Secure Firewall 3100 的集群