CCIE安全说明:ASA集群(9.6.1)

群集不支持的功能 -  

  • 关于TLS代理回复的统一通信
  • RA VPN(SSL VPN和IPSec VPN)
  • 申请检查后:
    • CTIQBE.
    • H323,H225和Ras
    • IPsec Passthough.
    • MGCP.
    • MMP.
    • RTSP.
    • SCCP.
    • 沃斯
    • WCCP.
  • 僵尸网络流量过滤器
  • 自动更新服务器
  • 虽然支持DHCP客户端,服务器和代理 - 继电器
  • VPN.负载均衡
  • 故障转移
  • 作为一个 CX模块

 

仅通过初级asa上集中模型支持的功能 -  

  • 站点到网站VPN 
  • 申请检查后:
    • dcerpc.
    • ESMTP.
    • 我是
    • NetBIOS.
    • PPTP.
    • 半径
    • r
    • SNMP.
    • SQLNET.
    • SUNRPC.
    • tftp.
    • XDMCP.
  • 动态路由(仅限跨越EtherChannel模式)
  • 组播路由 (仅限单个接口模式)
  • 静态路线监测
  • IGMP组播控制平面协议处理(数据计划转发仍在集群上分布)
  • PIM多播控制平面协议处理(数据平面转发仍分布在群集中)
  • 网络访问的身份验证和授权 - 会计分散
  • 过滤服务

 

适用于个别asas的功能 -

  • QoS - 将群集中突破为配置复制的一部分,但它独立地对每个ASA强制执行 
  • 威胁检测 - 独立地处理每个ASA 
  • 资源管理 - 这是用于多附录模式,并分开在每个ASA上强制执行 
  • LISP流量 - 每个ASA都会在群集中共享的EID表,但它不参与群集状态共享 
  • 作为一个 Firepower模块 - 在群集时,ASA Firepower模块之间没有配置或状态同步。请勿在群集中的设备上使用不同的基于ASA接口的区域定义
  • 作为一个 IPS模块 - 在它们之间没有状态或配置

 

其他功能和警告 -  

  • 用于网络访问的AAA - 身份验证和授权是集中的,计费以每流程分发 
  • FTP. - 如果使用AAA进行FTP访问,则它将集中在主ASA上。如果不是,则数据通道和控制信道可以由群集的不同成员拥有。 
  • Identity Firewall - 只有主要的ASA从广告代理中从AD和用户IP映射中检索用户组,但它将将该信息填充到Subitaries
  • 组播路由 - 取决于接口模式:
    • 跨越的EtherChannel模式 - 主ASA处理所有组播路由数据包和数据包,直到建立快速路径,然后每个次要可以转发多播数据包
    • 单个接口模式 - 主ASA处理并转发所有数据和路由数据包以避免数据包复制
  • NAT - 这可能是一个绩效命中。如果您将使用NAT并将数据包返回到非所有者,则该数据包将必须通过群集控制链接转发到所有者。重要的NAT指南:
    • 没有代理ARP - 跨越EtherChannel模式但具有单个接口模式的问题并不大部分问题,您必须考虑对映射地址的回复永远不会设置回复。它可以防止相邻路由器维护与ASA的对等关系不再包含在群集中。上游路由器需要一个静态路由或PBR,具有指向主群集IP地址的映射地址的对象跟踪。  
    • 各个接口模式不支持接口PAT
    • 群集不支持PAT使用端口块分配
    • 拍PAT港口块分配 
      • 最大主机限制不是集群范围内的限制,并单独为每个ASA强制执行
      • 在强制执行最大主机限制时,不会计算在备份池中创建的端口块
      • 当Pat IP地址所有者下降时,备份所有者将拥有PAT IP地址,相应的端口块和XLATE,但它不会使用这些来服务新请求。随着连接超时,块被释放
      • 在-Fly PAT修改将导致XLate备份创建故障,用于仍在运输中仍在运输中的XLate备份请求,而新池变得有效。
    • 动态PAT的NAT池地址分发 - 主ASA将均匀地分配群集中的地址,如果成员收到连接并没有剩余地址,则连接其他成员是否仍有可用地址。 
    • 没有圆罗宾,用于拍拍聚类
    • 动态NAT XLate由主ASA管理,它将将xlate表复制到辅助asas。 
    • 每个会话PAT允许每个次级拥有PAT连接。一些流量不会支持ICMP等
    • 以下检查没有静态专利:
      • FTP.
      • PPTP.
      • r
      • SQLNET.
      • tftp.
      • XDMCP.
  • 啜检查 - 可以在任何ASA上创建控制流,但它的子数据流必须驻留在同一ASA上。 TLS代理配置不支持。 
  • SNMP. - SNMP代理通过它的本地IP地址调查每个单独的ASA。无法调用群集的统一数据。如果SNMP代理轮询主群集IP和新的主ASA当选,投票给新的主ASA将失败。 
  • st  - 在故障转移和群集模式中支持,因为PinoheLs被复制,但在ASA中未复制事务ID。如果ASA收到STUN请求后,另一个ASA收到它,则会删除STUN请求。 
  • Syslog和NetFlow - 群集中的每个ASA都会生成自己的Syslog消息,并且可以配置为在Syslog消息标题中使用相同或不同的设备ID。使用NetFlow,每个群集也会生成自己的NetFlow流,收集器将每个ASA视为单独的NetFlow输出商。 
  • trustsec - 主asas学会了sgt,然后将该信息的人群介绍给次级asas,以便他们自己的匹配决策
  • VPN. - 站点到站点VPN是一个集中功能,只有主要的将支持它。如果您正在使用跨跨越的EtherChannel,则连接将自动转发到主ASA。 
  • vxlan不支持各个接口,但跨越跨越的EtherChannel支持它。
  • 跨越的EtherChannel不支持它,但它与各个接口。 

 

初级和次要角色 -

  • 在任何群集中,将有一个单个主要的ASA,其余的ASA将是次要的
  • 初级由优先级确定,可以在1到100之间设置.1是最高优先级。 
  • 如果没有从他们的默认值优先发生更改,那就是第一个将是主要的ASA 
  • 配置在主ASA上完成,并在初始设置后复制到其他ASA
  • 选举:
    • 最初,新配置用于聚类的ASA将每3秒播放一次选举
    • 具有较高优先级的ASA将响应该选举请求。 
    • 如果在45秒内没有任何其他ASA的响应,则ASA将成为主要的。注意:如果成员稍后以更高的优先级加入,直到主要停止响应或手动强制ASA成为初级,则不一定成为主要 
  • 当群集中的ASA失败时,流量将传送到其他ASA。如果主机失败,则具有第二个最高优先级的ASA成为主要的。根据失败的类型,失败的ASA可以自动尝试重新加入。 

 

管理 -

  • 管理界面 - 建议使用ASAS作为单独接口的专用管理接口。这允许您为某些事物(如TFTP)连接到个人ASA,获取Syslog等。  
  • 整个群集的主要管理和监视通常会在主要中进行。如果您愿意,您还可以在辅助asas上执行文件管理。初级提供的功能是:
    • 监控每单位群集特定状态
    • 每单位的Syslog监控除了控制台复制时发送到控制台的Syslogs除外
    • SNMP.
    • netflow. 

 

接口 -

  • 只能为群集配置一种类型的接口模式:跨越EtherChannel模式或单个接口模式。您无法在群集中混合界面类型。 
  • 跨越EtherChannel模式 - 这是推荐的使用模式。您可以将每个ASA对一个或多个接口组分成跨越群集中所有单位的捆绑包。您可以在路由或透明模式下使用跨越的EtherChannel。具有透明模式,您必须将IP地址分配给BVI,而不是桥组成员界面。 
  • 单个接口模式 - 这仅在路由模式下可用,因为它们是具有自己本地IP地址的路由接口。这对端口通道的优先优选不太优选,因为此方法需要路由协议加载平衡,流量和收敛速度较慢。由于您必须从主ASA配置所有内容,因此您可以在群集成员上的给定界面上配置一个IP地址池,并为主。主要集群IP地址将是始终属于主要的群集的固定地址,并充当该主要的辅助IP地址。本地IP地址是用作路由的地址的应用程序,而主群集IP地址提供了一致管理访问的IP地址 - 即那种方式如果主要更改,则主要群集IP将与其一起移动。 
  • 群集控制链接(CCL) - 控制初级选举,配置复制和健康监控和数据流量的控制流量以及用于状态复制和连接所有权查询和数据包转发的数据流量。需要是第2层相邻并在同一子网上具有IP。您希望确保为CCL使用的链接可以处理大量流量。 它的交通量可以变化,但绝对可以飙升。要知道的另一件事是,更高的带宽CCL将帮助群集在进行更改时更快地收敛。最佳做法是使用CCL的端口通道,将其连接到使用多机箱端口通道作为使用VSS或VPC的开关的其他交换机,并记住自从其他成员之间不跨越ASA上的端口通道这是ASA的集群控制链接,必须对每个ASA有所唯一的唯一。 您可以为CCL使用的链接类型有一些警告: 
    • 不能使用VLAN子接口 
    • 无法使用管理界面 
  • 与CCL有关的其他事情: 
    • 需要为延迟具有20ms或更少的RTT
    • 不能拥有任何无序或丢弃的数据包
  • 如果CCL衰减为ASA,则禁用群集,并关闭数据接口。手动重新加入群集并重新启用群集以使其提升。管理界面将在此期间保持稳定

 

使用群集,您可以为负载平衡有以下可用选项 -  

  • 跨越EtherChannel - 这不仅是群集的推荐方式,而且还提供了更快的收敛和失败发现。 建议在捆绑包中使用相同类型的线卡,并在捆绑的两侧使用相同的负载平衡哈希算法。
  • 从上游和下游路由器到路由防火墙的PBR - 如果您已经使用PBR,则建议使用。它将根据路线映射和ACL做出决定。这是一个更静态的选择。建议您创建一个转发的PBR策略并返回与相同物理ASA的连接数据包。 
  • 向上游路由器之间的ECMP路由到路由防火墙 - 这是您使用各个接口时。虽然只需使用端口通道,它可能会慢一点。 绝对不建议使用静态路由,因为除非您使用的对象跟踪,否则失败可能会导致问题。动态路由协议整体更好。

 

复制 -  

  • 数据路径连接状态 - 连接在群集中具有一个所有者和备份所有者。如果所有者通过查看TCP / UDP状态信息,则备份所有者仅接管,并且在那里传输连接。
    注意:不复制SNMP ID和站点到站点VPN状态信息。跨群集复制的功能:
    • up.
    • ARP表(仅透明)
    • MAC地址表(仅透明)
    • 用户身份(UAUTH和Identity防火墙的AAA规则)
    • IPv6邻居数据库 
    • 动态路由
  • 配置 - 群集中的所有ASA都会共享一个配置,您只能在主机上对此配置进行更改。更改后,它会在整个群集中复制。
  • RSA键复制 - 在主单元上创建RSA键时,它将复制到其他单位

 

群体的健康监测 -

  • 作为一个 Health - 主要将Keepalive发送到CCL的每一个次要的时间间隔,以确保它们已启动。如果失败keepalive健康检查,则主要将从群集中删除它
  • 接口 - 每个ASA都会监视其接口的链接状态,并将其报告给主。启用健康监控时,默认情况下为所有接口启用,但可以调整此操作,并且您可以将其关闭为OFF。如果受监视的接口下降,则从群集中删除该成员,因此这可能是您想要控制的那些内容之一。 

 

作为一个连接管理 -

  • 此管理在负载均衡到集群成员以及连接后如何处理连接
  • 可以是为连接定义的3种不同的ASA角色:
    • 所有者 - 接收连接的初始ASA&保持TCP状态。单个连接应该只有一个所有者。 ASA拥有连接的两个方向。为了具有最佳性能,请确保您的ASA接收流量的两个方向。
    • Director - 此ASA处理来自转发器的所有者查找请求并维护连接状态。如果所有者失败,它将是备份。这不是一个静态分配 - 所有者ASA将根据源/ dest IP地址和TCP端口的黑客选择一个导演,并将向新导演发送消息。每个连接只有一个导演
    • 转发器 - 此ASA可能会收到一个连接的数据包,并且既不是所有者的导演。相反,它将转发向所有者转发流程的数据包导演。有时,SYN数据包可以拥有所有者,所以它不是一个艰难而快速的规则,即ASA将永远向导演转发 - 如果它以某种方式从数据包中派生所有者,它将直接将它们转发给所有者。通过负载平衡方法完成群集的最佳吞吐量,其中所有者接收到连接的所有数据包。 
  • 重载单元可以配置为将新的TCP流重定向到其他单位
  • PAT可以影响谁成为新连接的成员:
    • 每次会话Pat - 所有者是接收初始连接的ASA
    • 多会Pat - 所有者始终是主要的ASA。您可以更改TCP / UDP的每个会话PAT默认值,因此根据配置,每次会话或多次会话处理Connects。 ICMP无法从默认的多节能PAT中更改。
       

动态路由和聚类 -  

  • 跨越EtherChannel模式 -  
    • 是 - 不受支持
    • 路由协议仅在主ASA和路由上运行,复制到辅助asas
    • 到达辅助ASA的路由数据包被重定向到主ASA
    • 在从主要ASA学习路线之后,个人ASA将独立地进行转发决策 
    • OSPF LSA数据库未从主单元同步到辅助单位,因此如果存在主ASA切换,则相邻路由器将检测到重启 - 这不是透明故障转移。您想调查不断转发以解决此问题。 
  • 单个接口模式 -  
    • 每个ASA都将路由协议运行为独立路由器,路线是独立学习的 
    • 您应该为路由器ID配置群集池,以便每个单元都有一个单独的路由器ID
    • 为避免不对称路由和可能的流量损失,将所有ASA接口组分组到同一交通区

 

站点间聚类 -  

  • 作为一个集群可以用于站点间群集,但您必须确保DCI可以适应群集控制链路的带宽。根据ASAS和网站的数量,这可能是一个重要的设计考虑因素。计算应该是这些行的东西:
  • 为此,您可以将每个群集成员配置为属于单独的站点ID,其将使用特定于站点的MAC地址和IP地址。从群集中源于群集的数据包将使用特定于站点的MAC和IP,而群集接收的数据包将使用全局MAC和IP地址,以防止交换机从不同端口上的两个站点学习相同的MAC地址和原因Mac拍打。 
  • 可以使用带有网站ID的LISP检查来启用流动移动性:
    • VMware可能在站点之间迁移并支持此Lisp可以更新此操作以确保流量正在发送到右站点。 
    • 作为一个不会运行LISP本身,但它可以检查LISP以监控位置更改,并使用此信息进行群集操作,以便流量和流量不会在不同的站点中的错误集群成员而不是最接近的ASA。 
    • 为了使其工作,ASA集群成员必须驻留在第一跳路由器和网站的ITR或ETR之间,并且ASA群集不能成为扩展段的第一跳路由器。这仅适用于完全分布式流程,群集仅移动第3层和4个流状态。短暂或非关键流动可能不值得移动,可以调整它,因此您不会浪费资源。 
    • 作为一个在UDP端口4342上检查Lisp流量,用于EID通知从第一跳路由器和ITR或ETR发送的消息。 
  • 在使用单个接口模式和ECMP朝向组播RP时,建议使用RP IP地址的静态路由下一跳,因为它可以防止将单播PIM寄存器报文发送到可能丢弃它的辅助单元。 
  • 不建议配置连接重新平衡,因为这可能会在不同网站重新平衡成员
  • 透明模式有一些有趣的警告: 
    • 如果群集在一对内部和外部路由器之间,请确保路由器中的两个都共享MAC地址,并且外部路由器都共享MAC地址。 
    • 如果放置在East-West流量的数据网络之间,每个网关路由器应使用FHRP在每个站点提供相同的虚拟IP和MAC地址目的地。

 

失败 -

  • 如果ASA离开群集并无法重新加入,则它的数据接口将保持下降,但它的管理界面将保持启动并能够进行通信 
  • 取决于它从群集中删除的方式,它可以重新加入。这是基于失败的行为:
    • 在初始加入时CCL下调 - 需要用手动重新加入 集群组 名称 然后 使能够
    • 加入后的CCL失败 - 除非另有配置,否则默认情况下,ASA自动尝试每5分钟重新加入每5分钟
    • 失败的数据界面 - ASA自动尝试在5分钟内重新加入,然后10分钟,然后20分钟。如果它不能在那个时候重新加入,你必须手动重新加入 with 集群组 名称 然后 使能够
    • asa失败 由于健康检查 - 它应该在备用电源或失败时重新加入。它会尝试在该点自动重新加入群集一次。

 

集群的建议 -

  • 对于交换机侧的群集控制链路接口,启用生成树portfast以加快新单位的加入过程
  • 对于跨跨越的EtherChannel,您可以快速启用LACP速率,以便在交换机上的各个接口快速加速捆绑
  • 在开关上,建议使用 source-dest-ip 或者 Source-Dest-IP端口 算法,不要使用 VLAN. keyword. 
  • 如果您可以避免它,端口通道捆绑停机时间不应除了配置的keepalive间隔之外
  • 当拓扑更改发生时,在您发现自己添加或删除EtherChannel接口时,禁用健康检查功能并在您正在处理它时禁用这些禁用的接口的界面监控。 

 

群集默认值 -  

  • 使用跨越的EtherChannels,ClacP系统ID通过系统优先级自动生成1
  • 默认情况下启用群集运行状况检查,其中包含3秒钟的保留时间。所有接口都启用了接口运行状况监控
  • 失败群集控制链接的群集自动重新加入功能每5分钟都是无限制的尝试。 
  • 失败的数据界面的群集自动重新加入功能是每5分钟尝试每5分钟,随着时间的增加设置为2
  • 默认情况下,HTTP流量默认启用5秒的连接复制延迟

 

为了使群集设置 -

  • asas必须是与相同数量的DRAM相同的模型
  • 在图像升级时必须具有相同的软件,但支持不利的升级
  • 必须是相同的安全上下文模式(单或多个)
  • 如果它在单个上下文模式下必须是相同的防火墙模式 - 路由或透明
  • 新成员必须使用相同的SSL加密设置 
  • 集群控制链路 - 这是一个隔离的高速背板网络
  • 管理访问每个ASA,这对于所有配置和监控至关重要
  • 群集控制链接只支持IPv4

 

配置群集 -

  • 要查看任何不兼容的配置,以便修复配置,请使用以下命令:
    群集界面 - 模式{个人|跨越频率}检查细节
  • 首先配置接口模式。没有默认值,必须明确选择:
    群集界面 - 模式{个人|跨越寿命
    您还可以使用该方法删除接口模式 没有群集接口模式 command.
  • 在主机上配置接口:
    • 各个接口模式 - 这些是从IP地址池中取出的正常路由接口,而主群集IP地址是属于群集主的固定IP。如果您有多个上下文,则需要将每个上下文配置为您要将其进行配置。 
      • 配置本地IP地址池:
        IPv4: IP本地池 Poolname First-Address Last-Address [面具 面具]
        IPv6: IPv6本地池 PoolName IPv6-Address / Prefix-Length-Length of Address
      • 或者输入界面配置模式,配置名称,IP地址,安全级别等,并在那里使用群集池配置群集IP: 
        界面 界面 
        (可选的) 管理层
        名字 名称 
        安全级别 数字
        IPv4: IP地址 IP地址[蒙版] 集群池 池名称 
        IPv6: IPv6地址 IPv6地址/前缀长度 集群池 池名称
        没有关机
    • 跨越EtherChannel模式 - 如果这是Multicontext模式,则必须在每个上下文中配置它。如果您处于透明模式,您必须配置桥接组。不建议在您绝对需要的情况下配置ASA或Switch的EtherChannel中的最大值或最小链接。建议不要从ASA上的默认值更改负载平衡算法。在开关上,建议将其更改为开关 source-dest-ip 或者 Source-Dest-IP端口。这 LACP端口优先LACP系统优先 命令不用于跨跨越的EtherChannel。 
      • 配置要添加到通道组的界面:
        界面 界面 
        频道组 ID mode活动[vss-id {1 | 2}] < - ID在1到48之间。如果您还没有配置它,则在接口上配置它时会创建它。 
        没有关机
      • 转到端口通道并将其配置为跨跨越的EtherChannel:
        接口端口通道 id
        端口通道跨度群集[VSS-Load-Balance] - 如果您将其连接到VSS或VPC中的多个交换机,请使用VSS负载均衡使用 VSS-Load-Balance 关键词。您必须配置 vss-id. 在启用负载均衡之前,每个成员的Channel-Group命令中的关键字。 
        注意:在端口通道上设置以太网属性将覆盖各个接口上设置的属性。您还可以在端口通道上创建VLAN子接口。 
      • 如果您处于多色文本模式,请确保将接口分配给上下文:
        语境 名称 
        分配接口端口通道 id
      • 配置界面:
        • 路由模式:
          接口端口通道 ID
          名字 名称
          安全级别 数字
          IPv4: IP地址 IP地址 [mask]
          IPv6: IPv6地址 IPv6-前缀/前缀长度
        • 透明模式:
          接口端口通道 ID
          名字 名称
          安全级别 数字
          桥群 数字
          注意:桥组可以在1到100之间。您可以使用多达64个接口组。 
      • 为Spanned EtherChannel配置全局MAC地址:
        MAC地址 MAC地址
        此MAC地址与当前的主ASA保持一致。如果您使用的是多个上下文,则应启用MAC地址的自动生成。 
      • 对于站点间群集,为每个站点配置特定于站点的MAC地址和IP地址: 
        MAC地址 MAC地址 网站ID. 数字
  • 配置主ASA Bootstrap设置: 
    • 注意:如果您处于Multicontext模式,则要在系统空间中配置设置。 
    • 建议使用Jumbo帧预留以与群集控制链路一起使用
    • 您必须在ASA中慰存到启用群集 - 您无法远程执行此操作。
    • 在加入群集之前,请启用群集控制链接。有些事情要注意:必须在每个ASA上单独启用它,因为此配置未被复制。您不能使用VLAN子接口或管理界面作为群集控制链接。 
      界面 界面 
      频道组 ID mode on - 如果您使用CCL的端口通道,则是可选的。如果您这样做,您将在端口通道接口下配置其余部分。 
    • (可选)如果您想将其配置超过1500的默认值。建议是1600字节或更多。 
      Jumbo帧预订
      MTU集群 字节 
    • 此名称群集组并输入群集配置模式
      集群组 名称 
      • 命名群集成员
        本地单位 单位名称
      • 指定群集控制链路接口。接口不能配置在其上配置。 
        群集界面 界面 IP. IP地址
      • 如果它是一个站点间群集,请设置网站ID:
        网站ID. 数字
      • 为主要单位选举设置ASA的优先级:
        优先事项 数字
      • 可选地,您可以配置身份验证密钥
        钥匙 钥匙
      • (可选)您可以在LACP中配置动态端口优先级
        CLACP静态端口优先级
      • (可选)您可以手动指定CLACP系统ID和系统优先级:
        clacp system-mac {MAC地址 |自动} [系统优先级 数字
      • 启用群集:
        启用[noconfirm]
  • 配置辅助ASA Bootstrap设置:
    • 根据主机上执行相同的群集控制链接界面。
    • 指定主机上配置的相同MTU
    • 配置与以前相同的群集名称:
      集群组 名称
      • 使用ASA的唯一设置配置本地单元名称:
        本地单位 名称
      • 指定相同的CCL,但具有不同的IP地址作为主要:
        群集界面 界面 ip IP地址 mask
      • 设置网站ID:
        网站ID. 数字
      • 设置优先级:
        优先事项 数字
      • 设置可选键:
        钥匙 钥匙
      • 如果您希望它将其作为辅助ASA,请将群集为从属:
        启用奴隶

 

群集操作配置 -

  • 集群配置模式内的群集参数:
    • 控制台复制 - 如果要从辅助单元启用控制台复制到主单位。默认情况下禁用。 
    • 痕量 等级 - 设置群集事件的最小跟踪级别。 
    • 健康检查[HOLDTIME 超时] [启用了VSS的] - 自定义群集单元运行状况检查功能。这 启用了VSS 旋钮允许CCL中的所有EtherChannel接口上的ASA到泛型keepalive消息,以确保至少一个交换机可以接收它们。 
    • 没有健康检查监视器界面[界面 | service-module] - 禁用对该接口或模块的界面健康检查
    • 健康检查{data-interface | Cluster-interface} Auto-Rejoin {无限制| rejoin-max} [自动重新加入接口 [自动重新加入间隔 - 变化] - 如果要在健康检查失败后自定义自动重新纳入群集设置。尝试次数可以在0到65535之间。默认值是无限的,3个数据界面。在重新加入尝试之间的几分钟内的间隔持续时间可以在2和60之间,默认为5.单位尝试重新加入群集的最大总时间仅限于最后一次故障时的14400分钟或10天。对于间隔持续时间,通过设置增加,它可以在1到3之间。默认值为群集接口和数据接口的2。 
    • Conn-RepAlance [频率 ] - 启用TCP流量的连接重新平衡
  • 集群复制延迟 {http |匹配TCP {Host IP地址 | IP地址掩码 |任何| Any4 | Any6} [{eq | LT | GT} 港口] {主持人 IP地址 | IP地址掩码 |任何| Any4 | Any6} [eq | LT | GT} 港口 ]} - 为TCP连接启用群集复制延迟,以削减短寿命的不必要的工作 
  • 使用LISP流量检查配置群集流动移动:
    • 创建一个ACL,其中目标IP地址与EID嵌入式地址匹配:
      访问列表 ACL-name. 扩展许可IP. 来源地址 面具Dest-Address Mask
    • 创建LISP检测地图:
      策略地图类型Inspect Lisp 地图名称
      参数
      允许的EID访问列表
      acl-name
      验证键 钥匙 - If needed
    • 在端口4342上配置UDP流量的UDP流量配置LISP检查:
      • 将扩展的ACL配置为Identity Lisp流量:
        访问列表 inspect-acl-name 扩展许可UDP 源代码掩码Dest-Address Mask EQ 4342.
      • 为ACL创建类映射:
        类地图 inspect-class-name
        匹配访问列表 inspect-acl-name
      • 指定策略地图,类映射,使用可选的LISP检测映射启用检查,并将服务策略应用于界面: 
        策略地图 策略地图名称
        班级 inspect-class-name
        检查Lisp. ispect-map-name
        service-policy. 策略地图名称 {Global |.界面 界面}
    • 为流量类启用流动移动:
      • 配置扩展ACL以识别您希望重新分配给服务器更改站点时最佳站点的业务关键流量:
        访问列表 Flow-ACL-name 扩展许可UDP 源代码掩码Dest-Address Mask eq. 港口 
      • 为ACL创建类映射
        类地图 流程图名称
        匹配访问列表 Flow-ACL-name
      • 指定启用LISP,Flow类地图和启用流动移动性的策略映射:
        策略地图 策略地图名称
        班级 流程图名称
        集群流动流动性LISP
    • 输入群集组配置模式并启用群集的流动移动:
      集群组 名称 
      流动性Lisp
  • 您可以禁用集群成员,同时将整个配置完好无损,如下所示:
    集群组 名称 
    没有启用
  • 灭活会员:
    集群远程单元 单位名称
  • 要留下群集并删除整个群集引导配置:
    • 对于次要ASA,禁用群集,因为您无法在群集启用时进行更改:
      集群组 名称 没有启用
    • 清除群集配置:
      清除配置群集
    • 禁用群集接口模式:
      没有群集接口模式
    • 写mem.
  •  更改主要单位:
    群主主单位 名称 
  • 执行命令集群范围:
    群集exec [单位 名称] 命令
  • 为Syslog的每个设备配置用于群集的日志记录ID:
    记录设备ID

 

其他有用的命令 -

  • 群集EXEC CAPTURE. - 用于故障排除,这使得可以在主单元上捕获特定于群集的流量。 
  • 调试路由群集 - 调试路由群集信息
  • 调试LACP集群[全部| CCP | misc |协议] - 显示clacp的调试消息
  • 调试群集[CCP | DataPath | FSM |一般| HC |许可证RPC |运输] - 显示用于群集的调试消息
  • 调试群集流动移动 - 显示与群集流动移动相关的事件
  • 调试LISP EID-Notifiy-Inscept - 显示拦截EID通知消息时的事件。 

 

显示命令 -  

  • 显示群集信息[健康] - 显示群集中所有成员的状态。使用健康开关,它将显示当前的接口,单位和集群的健康状况
  • 显示群集历史记录 - 显示群集历史记录
  • 显示群集{CPU |记忆|资源} [选项] - 在您选择的资源或选项上显示整个群集的聚合数据
  • show conn [详细] 或者 Cluster Exec Show Conn -  第一个显示流是目录,备份或转发器流程。第二个命令将显示任何单位上的所有连接。 
  • 显示群集信息[连接分配|数据包分配| loadbalance |流动性计数器] - 显示分布在所有群集单位的流量,并帮助排除故障并调整外部负载平衡
  • 显示群集信息LockBalance - 显示连接重新平衡统计数据
  • 显示群集信息流动移动计数器 - 显示EID移动和流量所有者运动信息 
  • 显示群集{Access-List |康涅狄格交通|用户身份| xlate} [options] - 显示整个群集的聚合数据
  • 显示ASP集群计数器 - 命令对DataPath故障排除很有用 
  • 显示Lisp EIGP. - 显示ASA EID表,显示EID和网站ID
  • 显示路线群集R - 显示路由的集群信息
  • 显示ASP表分类域Inspect-Lisp - 良好的疑难解答命令 
  • 显示群集界面模式
  • 显示端口通道
  • show lacp集群{system-mac | system-id} - 显示clacp系统ID和优先级 
  • 显示界面 - 应显示在使用中使用网站MAC地址
  • 显示群集信息跟踪 - 显示用于进一步故障排除的调试信息