ASA-Cluster集群模式_思科asa cluster license-优快云博客

本文链接：https://blog.youkuaiyun.com/u012391293/article/details/145043593

集群设备数量看授权

整体性能小于单个设备累加

广播选举优先级1-100 选举完成不抢占

集群状态 master、standby

接口模式 Spanned EtherChannel、IndividualInterface

心跳线 control link。数据、控制层面

集群脑裂之后设备需要手动加入集群

连接的三个角色：owner 处理数据状态信息备份到director forwarder收到流量询问director谁是owner并转发到owner

条件：设备的软件硬件完全一样

拓扑

配置

vlan 8,9,10,150
!
interface Port-channel1
 switchport trunk allowed vlan 8-10
 switchport trunk encapsulation dot1q
 switchport mode trunk
!
interface GigabitEthernet0/0
 switchport access vlan 8
 switchport mode access
!
interface GigabitEthernet0/1
 switchport access vlan 10
 switchport mode access
!
interface GigabitEthernet0/2
 switchport access vlan 9
 switchport mode access
!
interface GigabitEthernet1/0
 switchport trunk allowed vlan 8-10
 switchport trunk encapsulation dot1q
 switchport mode trunk
 channel-group 1 mode on
!
interface GigabitEthernet1/1
 switchport trunk allowed vlan 8-10
 switchport trunk encapsulation dot1q
 switchport mode trunk
 channel-group 1 mode on
!
interface GigabitEthernet1/3
 switchport access vlan 150
 switchport mode access
!
interface GigabitEthernet2/0
 switchport trunk allowed vlan 8-10
 switchport trunk encapsulation dot1q
 switchport mode trunk
 channel-group 1 mode on
!
interface GigabitEthernet2/1
 switchport trunk allowed vlan 8-10
 switchport trunk encapsulation dot1q
 switchport mode trunk

 channel-group 1 mode on
！
interface GigabitEthernet2/3
 switchport access vlan 150
 switchport mode access
！

ASA3

#no shutdown 所需接口
mode multiple
!
cluster interface-mode spanned 
!
interface Port-channel1
 port-channel span-cluster
!
interface Port-channel1.8
 vlan 8
!
interface Port-channel1.9
 vlan 9
!
interface Port-channel1.10
 vlan 10
!
interface Ethernet0
 channel-group 1 mode on
!
interface Ethernet1
 channel-group 1 mode on


admin-context admin
context admin
  allocate-interface Ethernet3 
  allocate-interface Port-channel1.8-Port-channel1.10 
  config-url disk0:/t

cluster group ccie
 local-unit ASA3
 cluster-interface Ethernet2 ip 10.100.203.1 255.255.255.0
 priority 1
 health-check holdtime 3
 clacp system-mac auto system-priority 1
 enable

子墙配置

ip local pool mgmt-pool 150.1.7.60-150.1.7.61
！
interface Ethernet3
 management-only
 nameif mgmt
 security-level 100
 ip address 150.1.7.59 255.255.255.0 cluster-pool mgmt-pool 
!             
interface Port-channel1.8
 mac-address 0008.0008.0008
 nameif inside
 security-level 100
 ip address 10.100.8.1 255.255.255.0 
!
interface Port-channel1.9
 mac-address 0009.0009.0009
 nameif outside
 security-level 0
 ip address 10.100.9.1 255.255.255.0 
!
interface Port-channel1.10
 mac-address 0010.0010.0010
 nameif dmz
 security-level 50
 ip address 10.100.10.1 255.255.255.0 
!
policy-map global_policy
 class inspection_default
  inspect icmp 
!

ASA4

cluster interface-mode spanned
cluster group ccie
 local-unit ASA4
 cluster-interface Ethernet2 ip 10.100.203.2 255.255.255.0
 priority 2
 enable

验证：

端口聚合

A/AFailover介绍

1.安全设备可以成对搭配成A/A的FO来提供设备级的余和负载分担

2.两个设备在彼此互为备份同时，也能同时转发流量（负载均衡）.注意：负载均衡是通过相邻的路由器来实现的

3.使用虚拟子防火墙是必须的.子防火墙被归为两个FO组

4.一个物理防火墙只会在一个FO组中成为active

A/A Failover对负载的处理

1.负载分担不相干的流量A/AFO不同的子防火墙有不同的安全功能，而且设计和实验都不是很复杂每一个物理设备都有一个这样的active子防火墙（转发流量）路由指向active的子防火墙，这些子防火墙分布在两个物理设备Physical Device

2.负载分担相关流量AVAFO不同的子防火墙有相同的安全功能，在这种情况下，设计起来比较复杂.每一个物理设备都有一个这样的active子防火墙（转发流量）在邻近的路由设备上必须分割流量到两个物理设备上的两个active子防火墙上返回流量必须特殊处理

Active context的选举

当一个安全设备启动后，它开始一个FO选举过程

当在FO接口检查到一个正在协商的设备，本地FO组配置的Primary设备将成为active。

如果它检测到一个设备在两个组里都是active，那么它在两个FO组将变为standby.

如果它没有检测到设备，它在两个FO组将变为active.

这些输出结果是假设安全设备在FO组里都是健康的，如果不是，那么健康的子墙在一个FO组里将变成active.

Failover的切换事件

FO出现在设备或子防火墙级别上

当一个物理防火墙的一个组内的active成员出现故障，另一个物理防火墙的standby成员将变为active.

安全设备单元的优先级不会改变（primary/secondary是物理概念）切换发生后，IP和MAC地址在组成回到标被交换

链路类型和AS一样

部署方针和AS一样 license 需要AA

A/AFO的异步路由问题

在一个负载均衡的方案中，邻接的路由器使用ECLB静态路由和PBR来实现负载分

担数据包不从始发的设备返回，这就叫做异步路由

设备收到一个数据包，但是没有这个包的状态信息这个包被丢弃

在这种环境，必须做出配置来支持异步路由的包

把发生异步路由成员的接口指派到相同的ASR组

安全设备检查其他FO组的状态化表项

假如在其他FO组的状态化信息表项中发现这个包的状态化信息，则2层信息被重写并且包将发送给其他设备

包通过其他设备转发

ASR-Group工作细节

1.一个oubound会话穿越ASA1.它的出接口为202.100.1.10。

2.因为互联网出现了异步路由，返回流量从ASA2的61.128.1.10返回

3.正常情况这个返回流量因为在61.128.1.10这个接口无法找到会话信息，应该被丢弃。然而这个接口使用命令（asr-group1）放入了asr-group，这个单元就会查找配置相同asrgroupID接口的会话信息。

4.会话信息在接口202.100.1.20上被查找到，这个接口属于C1的备用单元。这些状态化信息是从ASA1通过StatefulFO复制到了ASA2。

5.防火墙改写数据包二层头部，修改目的MAC为202.100.1.10.并且重定向数据从202.100.1.20这个接口发出，这样流量就从发起的接口202.100.1.10返回了，保障了在异步路由情况下的正常工作。

outbound流量在将outside接口加入asr-group组反之

Failover对软件的支持

处于FO配置的设备，应该具有相同的主要和次要的软件版本

在软件升级的过程当中，你可以在每台设备上运行不同的版本，并且仍然维持FO.

零停机时间升级OS步骤

下载新的软件到两个设备并且指定加载新的镜像

重启备用单元

强迫active单元切换到standby单元

重启前任active单元

恢复原active单元到active状态