虚拟机监控程序支持
有关虚拟机监控程序支持的信息,请参阅思科 ASA 兼容性。
思科自适应安全虚拟设备 (ASAv) 入门指南,9.13
非歧视性语言
此产品的文档集力求使用非歧视性语言。在本文档集中,非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言,文档中可能无法确保完全使用非歧视性语言。 深入了解思科如何使用包容性语言。
当地语言翻译版本说明
思科可能会在某些地方提供本内容的当地语言翻译版本。请注意,翻译版本仅供参考,如有任何不一致之处,以本内容的英文版本为准。
- 已更新:
- 2020年6月16日
Chapter: 思科 ASAv 简介
思科 ASAv 简介
思科自适应安全虚拟设备 (ASAv) 可为虚拟环境提供完整的防火墙功能,从而确保数据中心流量和多租户环境的安全。
您可以使用 ASDM 或 CLI 来管理和监控 ASAv。其他管理选项也可能可用。
ASAv 的许可
ASAv 使用思科智能软件许可。有关完整信息,请参阅智能软件许可(ASAv,ASA 在 Firepower 上)。
 注 |
您必须在 ASAv 上安装智能许可证。在安装许可证之前,吞吐量限制为 100 kbps,以便您可以执行初步连接测试。需要安装智能许可证才能正常运行。 |
从 9.13(1) 开始,现在可在任何受支持的 ASAv vCPU/内存配置中使用任何 ASAv 许可证。这可以让您在各种各样的 VM 资源上部署 ASAv 。AnyConnect 和 TLS 代理的会话限制由安装的 ASAv 平台授权确定,而不是与型号相关的平台限制。
有关支持的私有和公共部署目标的 ASAv 许可授权和资源规格,请参阅以下各节。
关于智能许可证授权
可在任何受支持的 ASAv vCPU/内存配置中使用任何 ASAv 许可证。这可以让您在各种各样的 VM 资源上运行 ASAv 。这还会增加受支持的 AWS 和 Azure 实例类型的数量。配置 ASAv VM 时,支持的最大数量 Vcpu 为 8;支持的最大内存为 64GB RAM。
-
vCPUs ― ASAv 支持 1 到 8 vCPUs。
-
Memory ― the ASAv 支持 2 GB 到 64 GB 的 RAM。
重要 |
从 9.13(1) 开始,ASAv 的最低内存要求为 2GB。如果当前 ASAv 的内存少于 2GB,您将无法在不增加 ASAv VM 内存的情况下,从早期版本升级到 9.13(1)。您也可以使用 9.13(1) 版本重新部署新的 ASAv VM。 部署具有超过1个 vCPU 的 ASAv 时,ASAv 的最低内存要求是4GB。 |
许可功能的会话限制
AnyConnect 和 TLS 代理的会话限制由安装的 ASAv 平台授权确定,并通过速率限制器强制执行。下表总结了基于授权层和速率限制器的会话限制。
|
授权 |
AnyConnect 高级版对等体数 |
TLS 代理会话总数 |
速度限制器 |
|---|---|---|---|
|
标准层,100M |
50 |
500 |
150 Mbps |
|
标准层,1G |
250 |
500 |
1 Gbps |
|
标准层,2G |
750 |
1000 |
2 Gbps |
|
标准层,10G |
10,000 |
10,000 |
10 Gbps |
许可功能的平台限制
权限授予的会话限制(如上表所示)不能超过平台的会话限制。平台会话限制基于为 ASAv 调配的内存量。最大 ASAv VM 维度是 8 vCPU 和 64 GB 内存。
|
调配的内存 |
AnyConnect 高级版对等体数 |
TLS 代理会话总数 |
|---|---|---|
|
2 GB 至 < 8 GB |
250 |
500 |
|
8 GB 至 < 16 GB |
750 |
1000 |
|
16 GB-64 GB |
10,000 |
10,000 |
ASAv 私有云授权(VMware、KVM、Hyper-v)
由于任何 ASAv 许可证均可用于任何受支持的 ASAv vCPU/内存配置,因此在私有云环境(VMware、KVM、Hyper-v)中部署 ASAv 时具有更大的灵活性。AnyConnect 和 TLS 代理的会话限制由安装的 ASAv 平台授权确定,并通过速率限制器强制执行。下表根据部署到私有云环境的 ASAv 的授权层(具有强制速率限制器)总结了会话限制。
下表根据部署到私有云环境的 ASAv 的授权层(具有强制速率限制器)总结了会话限制。
注 |
平台会话限制基于为 ASAv 调配的内存量;请参阅 表 2。 |
|
权限支持* |
|||||
|---|---|---|---|---|---|
|
最小值 |
最大值 |
标准层,100M |
标准层,1G |
标准层,2G |
标准层,10G |
|
2 |
7.9 |
50/500/100M |
250/500/1G |
250/500/2G |
250/500/10G |
|
8 |
15.9 |
50/500/100M |
250/500/1G |
750/1000/2G |
750/1000/10G |
|
16 |
64 |
50/500/100M |
250/500/1G |
750/1000/2G |
10K/10K/10G |
|
* AnyConnect 会话/TLS 代理会话/每个授权的速率限制器/实例。 |
|||||
许可功能的会话限制
AnyConnect 和 TLS 代理的会话限制由安装的 ASAv 平台授权确定,并通过速率限制器强制执行。下表总结了基于授权层和速率限制器的会话限制。
|
授权 |
AnyConnect 高级版对等体数 |
TLS 代理会话总数 |
速度限制器 |
|---|---|---|---|
|
标准层,100M |
50 |
500 |
150 Mbps |
|
标准层,1G |
250 |
500 |
1 Gbps |
|
标准层,2G |
750 |
1000 |
2 Gbps |
|
标准层,10G |
10,000 |
10,000 |
10 Gbps |
许可功能的平台限制
权限授予的会话限制(如上表所示)不能超过平台的会话限制。平台会话限制基于为 ASAv 调配的内存量。最大 ASAv VM 维度是 8 vCPU 和 64 GB 内存。
|
调配的内存 |
AnyConnect 高级版对等体数 |
TLS 代理会话总数 |
|---|---|---|
|
2 GB 至 < 8 GB |
250 |
500 |
|
8 GB 至 < 16 GB |
750 |
1000 |
|
16 GB - 64 GB |
10,000 |
10,000 |
ASAv 公有云授权 (AWS)
由于任何 ASAv 许可证均可用于任何支持的 ASAv vCPU/内存配置,因此您可以在各种不同的 AWS 实例类型上部署 ASAv。AnyConnect 和 TLS 代理的会话限制由安装的 ASAv 平台授权确定,并通过速率限制器强制执行。
下表总结了基于 AWS 实例类型的授权层的速率限制器和会话限制。有关受支持实例的 AWS VM 维度(vCPU 和内存)的故障,请参阅关于 AWS 云上的 ASAv 部署。
|
实例 |
BYOL 权限支持 * |
PAYG** |
|||
|---|---|---|---|---|---|
|
标准层,100M |
标准层,1G |
标准层,2G |
标准层,10G |
||
|
c5. xlarge |
50/500/100M |
250/500/1G |
750/1000/2G |
750/1000/10G |
750/1000 |
|
c5.2xlarge |
50/500/100M |
250/500/1G |
750/1000/2G |
10K/10K/10G |
10K/10K |
|
c4.large |
50/500/100M |
250/500/1G |
250/500/2G |
250/500/10G |
250/500 |
|
c4.xlarge |
50/500/100M |
250/500/1G |
250/500/2G |
250/500/10G |
250/500 |
|
c4.2xlarge |
50/500/100M |
250/500/1G |
750/1000/2G |
10K/10K/10G |
750/1000 |
|
c3.large |
50/500/100M |
250/500/1G |
250/500/2G |
250/500/10G |
250/500 |
|
c3.xlarge |
50/500/100M |
250/500/1G |
250/500/2G |
250/500/10G |
250/500 |
|
c3.2xlarge |
50/500/100M |
250/500/1G |
750/1000/2G |
10K/10K/10G |
750/1000 |
|
m4.large |
50/500/100M |
250/500/1G |
250/500/2G |
250/500/10G |
250/500 |
|
m4.xlarge |
50/500/100M |
250/500/1G |
250/500/2G |
250/500/10G |
10K/10K |
|
m4.2xlarge |
50/500/100M |
250/500/1G |
750/1000/2G |
10K/10K/10G |
10K/10K |
|
*AnyConnect 会话/TLS 代理会话/每个授权的速率限制器/实例。 * * AnyConnect 会话/TLS 代理会话。在 PAYG 型号下未采用速率限制器。 |
|||||
即付即用(PAYG)型号
下表总结了每一层的智能许可授权,以用于基于分配的内存的小时计费(PAYG)型号。
|
随机存取存储器(GB) |
每小时计费型号授权 |
|---|---|
|
2 GB 至 < 8 GB |
标准层,1G |
|
8 GB 至 < 16 GB |
标准层,2G |
|
16 GB - 64 GB |
标准层,10G |
ASAv 公有云授权 (Azure)
由于任何 ASAv 许可证均可用于任何支持的 ASAv vCPU/内存配置,因此您可以在各种不同的 Azure 实例类型上部署 ASAv。AnyConnect 和 TLS 代理的会话限制由安装的 ASAv 平台授权确定,并通过速率限制器强制执行。
下表总结了基于 Azure 实例类型的授权层的速率限制器和会话限制。有关受支持实例的 Azure VM 维度(vCPU 和内存)的故障,请参阅关于 Microsoft Azure 云上的 ASAv 部署。
注 |
Azure 上的 ASAv 目前不支持 "即付即用" (PAYG)型号。 |
|
实例 |
BYOL 权限支持* |
|||
|---|---|---|---|---|
|
标准层,100M |
标准层,1G |
标准层,2G |
标准层,10G |
|
|
D1, D1_v2DS1, DS1_v2 |
50/500/100M |
250/500/1G |
250/500/2G |
250/500/10G |
|
D2, D2_v2, DS2, DS2_v2 |
50/500/100M |
250/500/1G |
250/500/2G |
250/500/10G |
|
D3, D3_v2, DS3, DS3_v2 |
50/500/100M |
250/500/1G |
750/1000/2G |
750/1000/10G |
|
D4, D4_v2, DS4, DS4_v2 |
50/500/100M |
250/500/1G |
750/1000/2G |
10K/10K/10G |
|
D2_v3 |
50/500/100M |
250/500/1G |
750/1000/2G |
750/1000/10G |
|
D4_v3 |
50/500/100M |
250/500/1G |
750/1000/2G |
10K/10K/10G |
|
D8_v3 |
50/500/100M |
250/500/1G |
750/1000/2G |
10K/10K/10G |
|
F1, F1s |
50/500/100M |
250/500/1G |
250/500/2G |
750/1000/10G |
|
F2, F2s |
50/500/100M |
250/500/1G |
250/500/2G |
750/1000/10G |
|
F4, F4s |
50/500/100M |
250/500/1G |
750/1000/2G |
750/1000/10G |
|
F8, F8s |
50/500/100M |
250/500/1G |
750/1000/2G |
10K/10K/10G |
|
*每个权限/实例的 AnyConnect 会话数/TLS 代理会话数/速率限制器。 |
||||
准则和限制
ASAv 防火墙功能与思科 ASA 硬件防火墙非常相似,但存在以下准则和限制。
ASAv (所有权限)的准则和限制
智能许可指南
-
Vcpu 支持的最大数量为 8;支持的最大内存为 64GB RAM。可在任何受支持的 ASAv vCPU/内存配置中使用任何 ASAv 许可证。
-
许可功能和未许可平台功能的会话限制根据 VM 内存量设置。
-
AnyConnect 和 TLS 代理的会话限制由 ASAv 平台权限确定;会话限制不再与 ASAv 型号类型 (ASAv5/10/30/50) 关联。
-
会话限制有最低内存要求;如果 VM 内存低于最低要求,会话限制将设置为内存量支持的最大数。
-
现有授权没有任何变化;授权 SKU 和显示名称将继续包括型号 (ASAv5/10/30/50)。
-
授权通过速度限制器设置最大吞吐量。
-
客户订购过程没有变化。
情景型号准则
仅支持单情景型号。不支持多情景型号。
通过故障切换实现高可用性准则
对于故障切换部署,请确保备用设备具有相同的许可证权限;例如,两台设备均应具备 2Gbps 权限。
重要 |
使用 ASAv 创建高可用性对时,需要按相同顺序将数据接口添加到每个 ASAv。如果将完全相同的接口添加到每个 ASAv,但顺序不同,ASAv 控制台上可能会显示错误。故障切换功能可能也会受到影响。 |
不支持的 ASA 功能
ASAv 不支持以下 ASA 功能:
-
群集
-
多情景型号
-
主用/主用故障切换
-
EtherChannel
-
共享 AnyConnect 高级许可证
1 GB 权限的准则和限制
性能准则
-
在配置了 9 个或更多 e1000 接口的 1 GB 平台 上,巨帧预留可能会导致设备重新加载。如果启用巨帧预留,请将接口数量减到 8 个或更少。接口的确切数量取决于已配置的其他功能正常工作所需的内存,可以少于 8 个。
10 GB 权限的准则和限制
性能准则
-
支持 10Gbps 的汇聚流量。
-
仅支持 ESXi 和 KVM。
-
建议通过 CPU 固定来实现完整的吞吐量速率;请参阅提高 ESXi 配置的性能和提高 KVM 配置的性能。
-
支持自动 ASP 负载均衡;请参阅“ASAv 自动负载均衡”,第 79 页。
-
提供对 SR-IOV 接口的 ixgbe-vf 和 i40e-vf vNIC 支持;请参阅 ASAv 和 SR-IOV 接口调配。
-
混合使用 e1000 和 i40e-vf 接口的巨帧预留可能会导致 i40e-vf 接口保持关闭。如果启用巨帧预留,请不要混合使用 e1000 和 i40e-vf 驱动程序的接口类型。
限制
-
不支持透明型号。
-
不支持 Amazon Web 服务 (AWS)、Microsoft Azure 和 Hyper-V。
-
此版本不支持 ixgbe NIC。
ASAv 接口和虚拟 NIC
作为虚拟化平台上的访客,ASAv 使用底层物理平台的网络接口。每个 ASAv 接口映射到一个虚拟 NIC (vNIC)。
-
ASAv 接口
-
支持的 vNIC
ASAv 接口
ASAv 包括以下千兆以太网接口:
-
Management 0/0
对于 AWS 和 Azure,Management 0/0 可以是传输流量的“外部”接口。
-
GigabitEthernet 0/0 到 0/8。请注意,如果将 ASAv 部署为故障切换对的成员,则 GigabitEthernet 0/8 将用于故障切换链路。
-
ASAv50 上的 TenGigabitEthernet 0/0 到 0/8。请注意,如果将 ASAv50 部署为故障切换对的成员,则 TenGigabitEthernet 0/8 将用于故障切换链路。
-
Hyper-V 最多支持八个接口。Management 0/0 和 GigabitEthernet 0/0 至 0/6。您可以将 GigabitEthernet 0/6 用作故障切换链路。
支持的 vNIC
ASAv 支持以下 vNIC:
|
vNIC 类型 |
虚拟机监控程序支持 |
ASAv 版本 |
备注 |
|
|---|---|---|---|---|
|
VMware |
KVM |
|||
|
vmxnet3 |
支持 |
不支持 |
9.9(2) 及更高版本 |
VMware 默认值 如果使用 vmxnet3,则需要禁用 Large Receive Offload (LRO),以免 TCP 性能不佳。请参阅以下有关 VMware 支持的文章: http://kb.vmware.com/selfservice/microsites/search.do?cm d=displayKC&externalId=1027511 http://kb.vmware.com/selfservice/microsites/search.do?cm d=displayKC&externalId=2055140 |
|
e1000 |
支持 |
支持 |
9.2(1) 及更高版本 |
|
|
virtio |
不支持 |
支持 |
9.3(2.200) 及更高版本 |
KVM 默认值 |
|
ixgbe-vf |
支持 |
支持 |
9.8(1) 及更高版本 |
AWS 默认值;对 SR-IOV 的 ESXi 和 KVM 支持 |
|
i40e-vf |
不支持 |
支持 |
9.10(1) 及更高版本 |
对 SR-IOV 的 KVM 支持 |
ASAv 和 SR-IOV 接口调配
单一根 I/O 虚拟化 (SR-IOV) 允许运行各种访客操作系统的多个 VM 共享主机服务器内的单个 PCIe 网络适配器。SR-IOV 允许 VM 在网络适配器中绕过虚拟机监控程序而直接移入或移出数据,从而提高网络吞吐量及降低服务器 CPU 负担。最新的 x86 服务器处理器包括芯片组增强功能(例如 Intel VT-d 技术),它们可促进 SR-IOV 所需的直接内存传输及其他操作。
SR-IOV 规范定义了两种设备类型:
-
物理功能 (PF) - 实质上属于静态 NIC,PF 是完整的 PCIe 设备,包括 SR-IOV 功能。PF 按正常 PCIe 设备的方式进行发现、管理和配置。使用单个 PF 可为一组虚拟功能 (VF) 提供管理和配置。
-
虚拟功能 (VF) - 类似于动态 vNIC,VF 是完整或轻型虚拟 PCIe 设备,至少提供必要的数据移动资源。VF 并非直接进行管理,而是通过 PF 进行获取和管理。可以为一台 VM 分配一个或多个 VF。
SR-IOV 由外围组件互联专业组 (PCI SIG) 定义和维护,该行业组织负责开发和管理 PCI 标准。有关 SR-IOV 的详细信息, 请参阅《PCI-SIG SR-IOV 入门:SR-IOV 技术简介》。
要在 ASAv 上调配 SR-IOV 接口,需要从适当的操作系统级别、硬件和 CPU、适配器类型及适配器设置等开始进行一些规划。
SR-IOV 接口准则和限制
根据规模和使用要求,用于 ASAv 部署的具体硬件可能不尽相同。ASAv 的许可说明了与不同 ASAv 平台的许可证授权相匹配的合规资源方案。此外,SR-IOV 虚拟功能还需要特定的系统资源。
主机操作系统和虚拟机监控程序支持
SR-IOV 支持和 VF 驱动程序可用于:
-
Linux 2.6.30 内核或更高版本
以下虚拟机管理程序目前支持带 SR-IOV 接口的 ASAv:
-
VMware vSphere/ESXi
-
QEMU/KVM
-
AWS
硬件平台支持
本节介绍 SR-IOV 接口的硬件准则。尽管这些只是准则而不是要求,但使用不符合这些准则的硬件可能会导致功能问题或性能不佳。
需要一台支持 SR-IOV 并配备了支持 SR-IOV 的 PCIe 适配器的服务器。您必须了解以下硬件注意事项:
-
不同供应商和设备的 SR-IOV NIC 功能有所不同,包括可用的 VF 数量。
-
并非所有 PCIe 插槽都支持 SR-IOV。
-
支持 SR-IOV 的 PCIe 插槽可能具有不同的功能。
注
请查阅制造商的文档,以了解系统对 SR-IOV 的支持情况。
-
对于启用 VT-d 的芯片组、主板和 CPU,可以从“支持虚拟化功能的 IOMMU 支持硬件”页面中查找相关信息。VT-d 是 SR-IOV 系统所需的 BIOS 设置。
-
对于 VMware,可以搜索兼容性指南以启用 SR-IOV 支持。
-
对于 KVM,可以验证 CPU 兼容性。请注意,对于 KVM 上的 ASAv,我们仅支持 x86 硬件。
注
我们使用思科 UCS C 系列机架服务器对 ASAv 进行了测试。请注意,思科 UCS-B 服务器不支持 ixgbe-vf vNIC。
SR-IOV 支持的 NIC
CPU
-
X86_64 多核 CPU
Intel 沙桥或更高版本(推荐)
注
我们在 Intel 的 Broadwell CPU (E5-2699-v4) 上以 2.3Ghz 的频率对 ASAv 进行了测试。
-
核心
-
每个 CPU 插槽至少 8 个物理核心
-
8 个核心必须位于一个插槽中。
注
建议在 ASAv50 上通过 CPU 固定功能来实现最高吞吐量速率;请参阅提高 ESXi 配置的性能和提高 KVM 配置的性能。
-
BIOS 设置
SR-IOV 需要 BIOS 以及硬件上运行的操作系统实例或虚拟机监控程序方面的支持。检查系统 BIOS 中的以下设置:
-
已启用 SR-IOV
-
已启用 VT-x(虚拟化技术)
-
已启用 VT-d
-
(可选)已禁用超线程
我们建议您通过供应商文档验证该过程,因为不同的系统使用不同的方法来访问和更改 BIOS 设置。
限制
使用 ixgbe-vf 接口时,请注意以下限制:
-
禁止访客 VM 将 VF 设置为混合型号。因此,使用 ixgbe-vf 时不支持透明型号。
-
禁止访客 VM 在 VF 上设置 MAC 地址。因此,在 HA 期间不会像在其他 ASA 平台上和使用其他接口类型那样传输 MAC 地址。HA 故障切换通过从主用设备向备用设备传送 IP 地址的方式运行。
-
思科 UCS-B 服务器不支持 ixgbe-vf vNIC。
反馈