虚拟机监控程序支持
有关虚拟机监控程序支持的信息,请参阅思科ASA 兼容性。
Cisco Adaptive Security Virtual Appliance (ASAv) 入门指南,9.15
非歧视性语言
此产品的文档集力求使用非歧视性语言。在本文档集中,非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言,文档中可能无法确保完全使用非歧视性语言。 深入了解思科如何使用包容性语言。
当地语言翻译版本说明
思科可能会在某些地方提供本内容的当地语言翻译版本。请注意,翻译版本仅供参考,如有任何不一致之处,以本内容的英文版本为准。
- 已更新:
- 2024年9月9日
Chapter: ASAv 简介
ASAv 简介
自适应安全虚拟设备 (ASAv) 可为虚拟环境提供完整的防火墙功能,从而确保数据中心流量和多租户环境的安全。
您可以使用 ASDM 或 CLI 管理和监控 ASAv。其他管理选项也可能可用。
许可 ASAv
ASAv 使用思科智能软件许可。有关完整信息,请参阅智能软件许可。
 注 |
您必须在 ASAv上安装智能许可证。在安装许可证之前,吞吐量限制为 100 kbps,以便您可以执行初步连接测试。需要安装智能许可证才能正常运行。 |
从 9.13(1) 开始,现在可在任何受支持的 ASAv vCPU/内存配置中使用任何 ASAv许可证。这可以让您在各种各样的 VM 资源上部署 ASAv。AnyConnect 客户端 和 TLS 代理的会话限制由安装的 ASAv平台授权确定,而不是与型号相关的平台限制。
有关支持的私有和公共部署目标的 ASAv许可授权和资源规格,请参阅以下各节。
关于智能许可证授权
可以在任何受支持的 ASAv vCPU/内存配置中使用任何 ASAv 许可证。这可以让您在各种各样的 VM 资源上运行 ASAv。这还会增加受支持的 AWS 和 Azure 实例类型的数量。配置 ASAv 机时,支持的最大数量 Vcpu 为 16 (ASAv100);在除 AWS 和 OCI 以外的所有平台上部署的 ASA 虚拟支持的最大内存为 64GB。对于部署在 AWS 和 OCI 上的 ASA 虚拟,支持的最大内存为 128GB。
-
vCPU ― ASAv支持 1 到 16 个vCPU。
-
内存 ― ASAv 支持 2GB 至 64GB 的 RAM,适用于部署在除 AWS 和 OCI 以外的所有平台上的 ASA 虚拟设备。对于部署在 AWS 和 OCI 上的 ASA 虚拟,支持的最大内存为 128GB。
-
磁盘存储 - 默认情况下,ASAv 支持最小 8GB 的虚拟磁盘。支持的虚拟磁盘在 8GB 到 10GB 之间不等,具体取决于平台类型。在调配 VM 资源时,请记住这一点。
重要 |
ASAv 的最低内存要求为 2 GB。如果当前 ASAv 的内存少于 2 GB,您将无法在不增加 ASAv 机内存的情况下,从早期版本升级到 9.13(1) 及更高版本。您也可以使用最新版本重新部署新的 ASAv机。 部署具有超过 1 个 vCPU 的 ASAv 时, 最低内存要求是 4 GB。 要从 ASAv 版本 9.14 及更高版本升级到最新版本,ASA 虚拟机至少需要 4 GB 内存和 2 个 vCPU。 |
许可功能的会话限制
AnyConnect 客户端 和 TLS 代理的会话限制由安装的 ASAv平台授权确定,并通过速率限制器强制执行。下表总结了基于授权层和速率限制器的会话限制。
|
授权 |
AnyConnect 客户端 高级对等体 |
TLS 代理会话总数 |
速度限制器 |
|---|---|---|---|
|
标准层,100M |
50 |
500 |
150 Mbps |
|
标准层,1G |
250 |
500 |
1 Gbps |
|
标准层,2G |
750 |
1000 |
2 Gbps |
|
标准层,10G |
10,000 |
10,000 |
10 Gbps |
|
标准层,20G |
2 万 |
2 万 |
20 Gbps |
权限授予的会话限制(如上表所示)不能超过平台的会话限制。平台会话限制基于为 ASAv调配的内存量。
|
调配的内存 |
AnyConnect 客户端 高级对等体 |
TLS 代理会话总数 |
|---|---|---|
|
2 GB 至 7.9 GB |
250 |
500 |
|
8 GB 至 15.9 GB |
750 |
1000 |
|
16 GB - 31.9 GB |
10,000 |
10,000 |
|
32 GB 至 64 GB |
2 万 |
2 万 |
|
64 GB 至 128 GB |
2 万 |
2 万 |
平台限制
并行防火墙连接数和 VLAN 是基于 ASAv内存的平台限制。
注 |
当 ASAv处于“未获得许可”状态时,防火墙连接数上限为 100。获得任何授权的许可后,连接数将遵循平台限制。ASAv的最低内存要求为 2GB。 |
|
ASAv 内存 |
并发防火墙连接数 |
VLAN |
|---|---|---|
|
2 GB 至 7.9 GB |
100,000 |
50 |
|
8 GB 至 15.9 GB |
500,000 |
200 |
|
16 GB 至 31.9 |
2,000,000 |
1024 |
|
32 GB 至 64 GB |
4,000,000 |
1024 |
ASAv私有云授权(VMware、KVM、Hyper-v)
由于任何 ASAv许可证均可用于任何受支持的 ASAvvCPU/内存配置,因此在私有云环境(VMware、KVM、Hyper-v)中部署 ASAv 时具有更大的灵活性。
注 |
HyperV 上不支持 ASAv50 和 ASAv100。 |
AnyConnect 客户端 和 TLS 代理的会话限制由安装的 ASAv平台授权确定,并通过速率限制器强制执行。下表根据部署到私有云环境的 ASAv的授权层(具有强制速率限制器)总结了会话限制。
注 |
ASAv会话限制基于为 ASAv调配的内存量;请参阅表 2。 |
|
随机存取存储器(GB) |
权限支持* |
|||||
|---|---|---|---|---|---|---|
|
最小值 |
最大值 |
标准层,100M |
标准层,1G |
标准层,2G |
标准层,10G |
标准层,20G |
|
2 |
7.9 |
50/500/100M |
250/500/1G |
250/500/2G |
250/500/10G |
250/500/20G |
|
8 |
15.9 |
50/500/100M |
250/500/1G |
750/1000/2G |
750/1000/10G |
750/1000/20G |
|
16 |
31.9 |
50/500/100M |
250/500/1G |
750/1000/2G |
10K/10K/10G |
10K/10K/20G |
|
32 |
64 |
50/500/100M |
250/500/1G |
750/1000/2G |
10K/10K/10G |
20K/20K/20G |
|
*每个权限/实例的 AnyConnect 客户端 会话数/TLS 代理会话数/速率限制器。 |
||||||
ASAv公共云授权 (AWS)
由于任何 ASAv许可证均可用于任何支持的 ASAv vCPU/内存配置,因此您可以在各种不同的 AWS 实例类型上部署 ASAv。AnyConnect 客户端 和 TLS 代理的会话限制由安装的 ASAv平台授权确定,并通过速率限制器强制执行。
下表总结了基于 AWS 实例类型的授权层的速率限制器和会话限制。有关受支持实例的 AWS VM 维度(vCPU 和内存)细分信息,请参阅“关于 AWS 云上的 ASAv部署”。
|
实例 |
BYOL 授权支持* |
PAYG** |
|||
|---|---|---|---|---|---|
|
标准层,100M |
标准层,1G |
标准层,2G |
标准层,10G |
||
|
c5. xlarge |
50/500/100M |
250/500/1G |
750/1000/2G |
750/1000/10G |
750/1000 |
|
c5.2xlarge |
50/500/100M |
250/500/1G |
750/1000/2G |
10K/10K/10G |
10K/10K |
|
c4.large |
50/500/100M |
250/500/1G |
250/500/2G |
250/500/10G |
250/500 |
|
c4.xlarge |
50/500/100M |
250/500/1G |
250/500/2G |
250/500/10G |
250/500 |
|
c4.2xlarge |
50/500/100M |
250/500/1G |
750/1000/2G |
10K/10K/10G |
750/1000 |
|
c3.large |
50/500/100M |
250/500/1G |
250/500/2G |
250/500/10G |
250/500 |
|
c3.xlarge |
50/500/100M |
250/500/1G |
250/500/2G |
250/500/10G |
250/500 |
|
c3.2xlarge |
50/500/100M |
250/500/1G |
750/1000/2G |
10K/10K/10G |
750/1000 |
|
m4.large |
50/500/100M |
250/500/1G |
250/500/2G |
250/500/10G |
250/500 |
|
m4.xlarge |
50/500/100M |
250/500/1G |
250/500/2G |
250/500/10G |
10K/10K |
|
m4.2xlarge |
50/500/100M |
250/500/1G |
750/1000/2G |
10K/10K/10G |
10K/10K |
|
*每个权限/实例的 AnyConnect 客户端 会话数/TLS 代理会话数/速率限制器。 ** AnyConnect 客户端 会话/TLS 代理会话。在 PAYG 模式下未采用速率限制器。 |
|||||
即付即用 (PAYG) 模式
下表总结了每一层的智能许可授权,以用于基于分配的内存的小时计费 (PAYG) 模式。
|
随机存取存储器 (GB) |
每小时计费模式授权 |
|---|---|
|
< 2 GB |
标准层,100M (ASAv5) |
|
2 GB 至 < 8 GB |
标准层,1G (ASAv10) |
|
8 GB 至 < 16 GB |
标准层,2G (ASAv30) |
|
16 GB < 32 GB |
标准层,10G (ASAv50) |
|
30 GB 及更高 |
标准层,20G (ASAv100) |
ASAv公共云授权 (Azure)
由于任何 ASAv许可证均可用于任何支持的 ASAv vCPU/内存配置,因此您可以在各种不同的 Azure 实例类型上部署 ASAv。AnyConnect 客户端 和 TLS 代理的会话限制由安装的 ASAv平台授权确定,并通过速率限制器强制执行。
下表总结了基于 Azure 实例类型的授权层的速率限制器和会话限制。有关受支持实例的 Azure VM 维度(vCPU 和内存)细分信息,请参阅“关于 Microsoft Azure Cloud 上的 ASAv部署”。
注 |
Azure 上的 ASAv目前不支持“即付即用”(PAYG) 模式。 |
|
实例 |
BYOL 授权支持* |
||||
|---|---|---|---|---|---|
|
标准层,100M |
标准层,1G |
标准层,2G |
标准层,10G |
标准层,20G |
|
|
D1, D1_v2DS1, DS1_v2 |
50/500/100M |
250/500/1G |
250/500/2G |
250/500/10G |
250/500/20G |
|
D2, D2_v2, DS2, DS2_v2 |
50/500/100M |
250/500/1G |
250/500/2G |
250/500/10G |
250/500/20G |
|
D3, D3_v2, DS3, DS3_v2 |
50/500/100M |
250/500/1G |
750/1000/2G |
750/1000/10G |
750/1000/20G |
|
D4, D4_v2, DS4, DS4_v2 |
50/500/100M |
250/500/1G |
750/1000/2G |
10K/10K/10G |
10K/10K/20G |
|
D5, D5_v2, DS5, DS5_v2 |
50/500/100M |
250/500/1G |
750/1000/2G |
10K/10K/10G |
10K/20K/20G |
|
D2_v3 |
50/500/100M |
250/500/1G |
750/1000/2G |
750/1000/10G |
750/1000/20G |
|
D4_v3 |
50/500/100M |
250/500/1G |
750/1000/2G |
10K/10K/10G |
10K/10K/20G |
|
D8_v3 |
50/500/100M |
250/500/1G |
750/1000/2G |
10K/10K/10G |
10K/10K/20G |
|
F4, F4s |
50/500/100M |
250/500/1G |
750/1000/2G |
750/1000/10G |
750/1000/20G |
|
F8, F8s |
50/500/100M |
250/500/1G |
750/1000/2G |
10K/10K/10G |
10K/20K/20G |
|
F16, F16s |
50/500/100M |
250/500/1G |
750/1000/2G |
10K/10K/10G |
10K/20K/20G |
|
*每个权限/实例的 AnyConnect 客户端 会话数/TLS 代理会话数/速率限制器。 |
|||||
准则和限制
ASAv防火墙功能与 ASA 硬件防火墙非常相似,但存在以下准则和限制。
ASAv (所有权限)的准则和限制
智能许可准则
-
支持的最大 vCPU 数量为 16 个。对于部署在除 AWS 和 OCI 之外的所有平台上的 ASA 虚拟,支持的最大内存为 64GB。对于部署在 AWS 和 OCI 上的 ASA 虚拟,支持的最大内存为 128GB。可以在任何受支持的 ASAv vCPU/内存配置中使用任何 ASAv 许可证。
-
许可功能和未许可平台功能的会话限制根据 VM 内存量设置。
-
AnyConnect 客户端 和 TLS 代理的会话限制取决于 ASAv平台授权;会话限制不再与 ASAv型号类型 (ASAv5/10/30/50/100) 关联。
-
会话限制有最低内存要求;如果 VM 内存低于最低要求,会话限制将设置为内存量支持的最大数。
-
现有授权没有任何变化;授权 SKU 和显示名称将继续包括型号 (ASAv5/10/30/50/100)。
-
授权通过速度限制器设置最大吞吐量。
-
客户订购过程没有变化。
磁盘存储
默认情况下,ASAv支持最大 8 GB 的虚拟磁盘。磁盘大小不能超过 8 GB。在调配 VM 资源时,请记住这一点。
情景模式准则
仅支持单情景模式。不支持多情景模式。
通过故障转移实现高可用性准则
对于故障转移部署,请确保备用设备具有相同的许可证权限;例如,两台设备均应具备 2Gbps 权限。
重要 |
使用 ASAv创建高可用性对时,需要按相同顺序将数据接口添加到每个 ASAv。如果完全相同的接口添加到每个 ASAv,但采用不同的顺序,在 ASAv控制台上会显示错误。故障转移功能可能也会受到影响。 |
不支持的 ASA 功能
ASAv 不支持以下 ASA 功能:
-
集群(适用于所有授权,、KVM 和 VMware 除外)
-
多情景型号
-
主用/主用故障转移
-
EtherChannel
-
共享 AnyConnect 高级许可证
限制
-
ASAv 与 x710 NIC 的 1.9.5 i40en 主机驱动程序不兼容。较旧或更新版本的驱动程序将正常工作。(仅适用于 VMware)
1 GB 权限的准则和限制
性能准则
-
在配置了 9 个或更多 e1000 接口的 1 GB 平台 上,巨型帧预留可能会导致设备重新加载。如果启用巨型帧预留,请将接口数量减到 8 个或更少。接口的确切数量取决于已配置的其他功能正常工作所需的内存,可以少于 8 个。
10 GB 权限的准则和限制
性能准则
-
支持 10Gbps 的汇聚流量。
-
支持通过以下实践提高 ASAv性能:
-
建议通过 CPU 固定来实现完整的吞吐量速率;请参阅提高 ESXi 配置的性能和提高 KVM 配置的性能。
-
混合使用 e1000 和 i40e-vf 接口的巨型帧预留可能会导致 i40e-vf 接口保持关闭。如果启用巨型帧预留,请不要混合使用 e1000 和 i40e-vf 驱动程序的接口类型。
限制
-
不支持透明模式。
-
ASAv 与 x710 NIC 的 1.9.5 i40en 主机驱动程序不兼容。较旧或更新版本的驱动程序将正常工作。(仅适用于 VMware)
-
不受 Hyper-v 支持。
20 GB 权限的准则和限制
性能准则
-
支持 20Gbps 的汇聚流量。
-
支持通过以下实践提高 ASAv性能:
-
建议通过 CPU 固定来实现完整的吞吐量速率;请参阅提高 ESXi 配置的性能和提高 KVM 配置的性能。
限制
-
ASAv 与 x710 NIC 的 1.9.5 i40en 主机驱动程序不兼容。较旧或更新版本的驱动程序将正常工作。(仅适用于 VMware)
-
不支持透明模式。
-
不支持 Amazon Web 服务 (AWS)和 Hyper-V。
ASAv接口和虚拟 NIC
作为虚拟化平台上的访客,ASAv使用底层物理平台的网络接口。每个 ASAv 接口映射到一个虚拟 NIC (vNIC)。
-
ASAv 接口
-
支持的 vNIC
ASAv接口
ASAv包括以下千兆以太网接口:
-
Management 0/0
对于 AWS 和 Azure,Management 0/0 可以是传输流量的“外部”接口。
-
GigabitEthernet 0/0 到 0/8。请注意,如果将 ASAv部署为故障转移对的成员,则 GigabitEthernet 0/8 将用于故障转移链路。
注
为了进行简单的配置迁移,十个千兆以太网接口(如 VMXNET3 驱动程序上可用的接口)已被标记为千兆以太网。这对实际接口速度没有影响,仅作为外观显示。
ASAv将使用 E1000 驱动程序的 GigabitEthernet 接口定义为 1Gbps 链路。请注意,VMware 不再建议使用 E1000 驱动程序。
-
Hyper-V 最多支持八个接口。Management 0/0 和 GigabitEthernet 0/0 至 0/6。您可以将 GigabitEthernet 0/6 用作故障转移链路。
支持的 vNIC
ASAv 支持以下 vNIC。不支持在同一 ASAv上混合 vNIC,例如 e1000 和 vmxnet3。
|
vNIC 类型 |
虚拟机监控程序支持 |
ASAv版本 |
备注 |
|
|---|---|---|---|---|
|
VMware |
KVM |
|||
|
vmxnet3 |
是 |
否 |
9.9(2) 及更高版本 |
VMware 默认值 如果使用 vmxnet3,则需要禁用 Large Receive Offload (LRO),以免 TCP 性能不佳。请参阅禁用 VMware 和 VMXNET3 的 LRO。 |
|
e1000 |
兼容 |
兼容 |
9.2(1) 及更高版本 |
不建议使用 VMware。 |
|
virtio |
不兼容 |
是 |
9.3(2.200) 及更高版本 |
KVM 默认值 |
|
ixgbe-vf |
兼容 |
兼容 |
9.8(1) 及更高版本 |
AWS 默认值;支持 SR-IOV 的 ESXi 和 KVM。 |
|
i40e-vf |
不兼容 |
是 |
9.10(1) 及更高版本 |
对 SR-IOV 的 KVM 支持。 |
禁用 VMware 和 VMXNET3 的 LRO
Large Receive Offload (LRO) 技术通过减少 CPU 开销增加高带宽网络连接的入站吞吐量。它的工作方式是,将从单一流传入的多个数据包聚合到更大的缓冲区,然后向网络堆栈上方传递,从而减少必须处理的数据包数量。不过,LRO 可能会导致 TCP 性能问题,即网络数据包传送可能不会一致流动,而是在拥挤的网络中“突发”。
重要 |
VMware 默认启用 LRO,以增加整体吞吐量。因此,此平台要求在 ASAv部署中禁用 LRO。 |
您可以在 ASAv虚拟机上直接禁用 LRO。在进行任何配置更改之前,请关闭虚拟机。
-
在 vSphere Web Client 清单中查找 ASAv机。
-
要查找虚拟机,请选择一个数据中心、文件夹、集群、资源池或主机。
-
点击相关对象 (Related Objects) 选项卡,然后点击虚拟机 (Virtual Machines)。
-
-
右键点击虚拟机,然后选择编辑设置 (Edit Settings)。
-
点击 VM 选项 (VM Options)。
-
展开高级 (Advanced)。
-
在“配置参数”(Configuration Parameters) 下,点击编辑配置 (Edit Configuration)按钮。
-
点击添加参数 (Add Parameter) 并输入 LRO 参数的名称和值:
-
Net.VmxnetSwLROSL | 0
-
Net.Vmxnet3SwLRO | 0
-
Net.Vmxnet3HwLRO | 0
-
Net.Vmxnet2SwLRO | 0
-
Net.Vmxnet2HwLRO | 0
注
(可选)如果存在 LRO 参数,您可以检查这些值并在需要时进行更改。如果参数等于 1,则 LRO 已启用。如果等于 0,则 LRO 已禁用。
-
-
点击确定 (OK) 以保存您的更改并退出配置参数 (Configuration Parameters) 对话框。
-
点击保存 (Save)。
有关详细信息,请参阅以下 VMware 支持文章:
ASAv和 SR-IOV 接口调配
单一根 I/O 虚拟化 (SR-IOV) 允许运行各种访客操作系统的多个 VM 共享主机服务器内的单个 PCIe 网络适配器。SR-IOV 允许 VM 在网络适配器中绕过虚拟机监控程序而直接移入或移出数据,从而提高网络吞吐量及降低服务器 CPU 负担。最新的 x86 服务器处理器包括芯片组增强功能(例如 Intel VT-d 技术),它们可促进 SR-IOV 所需的直接内存传输及其他操作。
SR-IOV 规范定义了两种设备类型:
-
物理功能 (PF) - 实质上属于静态 NIC,PF 是完整的 PCIe 设备,包括 SR-IOV 功能。PF 按正常 PCIe 设备的方式进行发现、管理和配置。使用单个 PF 可为一组虚拟功能 (VF) 提供管理和配置。
-
虚拟功能 (VF) - 类似于动态 vNIC,VF 是完整或轻型虚拟 PCIe 设备,至少提供必要的数据移动资源。VF 并非直接进行管理,而是通过 PF 进行获取和管理。可以为一台 VM 分配一个或多个 VF。
SR-IOV 由外围组件互联专业组 (PCI SIG) 定义和维护,该行业组织负责开发和管理 PCI 标准。有关 SR-IOV 的详细信息, 请参阅《PCI-SIG SR-IOV 入门:SR-IOV 技术简介》。
要在 ASAv上调配 SR-IOV 接口,需要从适当的操作系统级别、硬件和 CPU、适配器类型及适配器设置等开始进行一些规划。
SR-IOV 接口准则和限制
根据规模和使用要求,用于 ASAv部署的具体硬件可能不尽相同。许可 ASAv说明了与不同 ASAv平台的许可证授权相匹配的合规资源方案。此外,SR-IOV 虚拟功能还需要特定的系统资源。
主机操作系统和虚拟机监控程序支持
SR-IOV 支持和 VF 驱动程序可用于:
-
Linux 2.6.30 内核或更高版本
以下虚拟机监控程序目前支持带 SR-IOV 接口的 ASAv:
-
VMware vSphere/ESXi
-
QEMU/KVM
-
AWS
硬件平台支持
注 |
您应该在能够运行支持的虚拟化平台的任何服务器类 x86 CPU 设备上部署 ASAv。 |
本节介绍 SR-IOV 接口的硬件准则。尽管这些只是准则而不是要求,但使用不符合这些准则的硬件可能会导致功能问题或性能不佳。
需要一台支持 SR-IOV 并配备了支持 SR-IOV 的 PCIe 适配器的服务器。您必须了解以下硬件注意事项:
-
不同供应商和设备的 SR-IOV NIC 功能有所不同,包括可用的 VF 数量。
-
并非所有 PCIe 插槽都支持 SR-IOV。
-
支持 SR-IOV 的 PCIe 插槽可能具有不同的功能。
注
请查阅制造商的文档,以了解系统对 SR-IOV 的支持情况。
-
对于启用 VT-d 的芯片组、主板和 CPU,可以从支持虚拟化功能的 IOMMU 支持硬件页面中查找相关信息。VT-d 是 SR-IOV 系统所需的 BIOS 设置。
-
对于 VMware,可以搜索兼容性指南以启用 SR-IOV 支持。
-
对于 KVM,可以验证 CPU 兼容性。请注意,对于 KVM 上的 ASAv,我们仅支持 x86 硬件。
注
我们使用思科 UCS C 系列机架式服务器对 ASAv进行了测试。请注意,思科 UCS-B 服务器不支持 ixgbe-vf vNIC。
SR-IOV 支持的 NIC
-
注意
ASAv 与 x710 NIC 的 1.9.5 i40en 主机驱动程序不兼容。较旧或更新版本的驱动程序将正常工作。(仅适用于 VMware)
CPU
-
X86_64 多核 CPU
Intel 沙桥或更高版本(推荐)
注
我们在 Intel 的 Broadwell CPU (E5-2699-v4) 上以 2.3Ghz 的频率对 ASAv 进行了测试。
-
核心
-
每个 CPU 插槽至少 8 个物理核心
-
8 个核心必须位于一个插槽中。
注
建议使用 CPU 固定实现 ASAv50 和 ASAv100 上的完整吞吐量速率;请参阅提高 ESXi 配置的性能和提高 KVM 配置的性能。
-
BIOS 设置
SR-IOV 需要 BIOS 以及硬件上运行的操作系统实例或虚拟机监控程序方面的支持。检查系统 BIOS 中的以下设置:
-
已启用 SR-IOV
-
已启用 VT-x(虚拟化技术)
-
已启用 VT-d
-
(可选)已禁用超线程
我们建议您通过供应商文档验证该过程,因为不同的系统使用不同的方法来访问和更改 BIOS 设置。
限制
使用 ixgbe-vf 接口时,请注意以下限制:
-
禁止访客 VM 将 VF 设置为混合模式。因此,使用 ixgbe-vf 时不支持透明模式。
-
禁止访客 VM 在 VF 上设置 MAC 地址。因此,在 HA 期间不会像在其他 ASA 平台上和使用其他接口类型那样传输 MAC 地址。HA 故障转移通过从主用设备向备用设备传送 IP 地址的方式运行。
注
此限制也适用于 i40e-vf 接口。
-
思科 UCS-B 服务器不支持 ixgbe-vf vNIC。
-
在故障转移设置中,当配对的 ASAv(主设备)发生故障时,备用 ASAv 设备将接管主设备的角色,并使用备用 ASAv 设备的新 MAC 地址更新其接口 IP 地址。此后,ASAv 会向同一网络上的其他设备发送免费地址解析协议 (ARP) 更新,以通告接口 IP 地址的 MAC 地址更改。但是,由于与这些类型的接口不兼容,因此不会将免费 ARP 更新发送到用于将接口 IP 地址转换为全局 IP 地址的 NAT 或 PAT 语句中所定义的全局 IP 地址。
反馈