CCIE安全说明:ASA群集(9.6.1)

Unsupported features 与 Clustering - 

  • 在TLS代理上回复的统一通信
  • RA 虚拟专用网(SSL 虚拟专用网和Ipsec 虚拟专用网)
  • 进行以下应用检查:
    • CTIQBE
    • H323,H225和RAS
    • IPSec直通
    • MGCP
    • MMP
    • RTSP
    • 短链氯化石蜡
    • WAAS
    • WCCP
  • 僵尸网络流量过滤器
  • 自动更新服务器
  • DHCP客户端,服务器和代理-尽管支持中继
  • 虚拟专用网负载均衡
  • 故障转移
  • 作为一个 CX模块

 

仅通过主要ASA上的集中化模型支持的功能- 

  • 站点间VPN 
  • 进行以下应用检查:
    • DCERPC
    • ESMTP
    • 即时通讯
    • 网络BIOS
    • PPTP
    • 半径
    • RSH
    • SNMP协议
    • SQLNET
    • SUNRPC
    • TFTP
    • XDMCP
  • 动态路由(仅跨EtherChannel模式)
  • 组播路由 (仅限个人界面模式)
  • 静态路由监控
  • IGMP多播控制平面协议处理(数据计划转发仍在整个群集中分布)
  • PIM多播控制平面协议处理(数据平面转发仍在整个群集中分布)
  • 网络访问的身份验证和授权-会计分散
  • 筛选服务

 

适用于单个ASA的功能-

  • QoS-作为配置复制的一部分在整个群集中同步,但是在每个ASA上均独立执行 
  • 威胁检测-在每个ASA上独立运行 
  • 资源管理-这是针对多上下文模式的,并在每个ASA上分别实施 
  • LISP流量-每个ASA添加到在群集之间共享的EID表中,但不参与群集状态共享 
  • 作为一个 火力模块-群集时,ASA firepower模块之间没有配置或状态同步。不要在集群中的设备上使用基于ASA接口的不同区域定义
  • 作为一个 IPS模块-它们之间没有状态或配置同步

 

其他功能和注意事项- 

  • 用于网络访问的AAA-身份验证和授权是集中式的,计费是按流分配的 
  • 的FTP-如果您使用AAA进行FTP访问,它将集中在主要ASA上。如果不是,则数据通道和控制通道可以由群集的不同成员拥有。 
  • 身份防火墙-仅主ASA从AD检索用户组,并从AD代理检索用户IP映射,但是它将信息填充到辅助数据库
  • 组播路由-取决于接口模式:
    • 跨区EtherChannel模式-主ASA处理所有多播路由数据包和数据包,直到建立快速路径转发,然后每个辅助可转发多播数据包
    • 单独接口模式-所有数据和路由数据包均由主ASA处理和转发,以避免数据包复制
  • NAT-这可能会影响性能。如果要使用NAT并将返回的数据包返回给非所有者,则必须通过群集控制链接将该数据包转发给所有者。重要的NAT准则:
    • 没有代理ARP-跨EtherChannel模式但不是单独接口模式,这不是什么大问题,您必须考虑从未为映射地址设置答复。它可以防止相邻路由器与可能不再位于集群中的ASA保持对等关系。上游路由器需要一条静态路由或带有对象跟踪的PBR,以跟踪指向主群集IP地址的映射地址。  
    • 单独接口模式不支持接口PAT
    • No PAT 与 港口 block allocation is not supported for the cluster
    • PAT 与 Port Block Allocation 
      • 每个主机的最大限制不是群集范围的限制,并且在每个ASA上分别实施
      • 强制每个主机的最大限制时,不计算从备份池在备份ASA上创建的端口块
      • 当PAT IP地址所有者关闭时,备份所有者将拥有PAT IP地址,相应的端口块和xlate,但不会使用它们来服务新请求。随着连接超时,块释放
      • 动态PAT修改将导致在新池生效时仍在传输中的xlate备份请求的xlate备份创建失败。
    • 用于动态PAT的NAT池地址分配-主ASA将在群集中平均分配地址,如果某个成员收到连接并且没有剩余地址,则无论其他成员是否仍有地址可用,该连接都会被丢弃。 
    • No round-robin for PAT 与 clustering
    • 动态NAT xlate由主要ASA管理,它将xlate表复制到次要ASA。 
    • 每会话PAT允许每个辅助节点拥有自己的PAT连接。一些流量将不支持此功能,例如ICMP
    • 以下检查没有静态PAT:
      • 的FTP
      • PPTP
      • RSH
      • SQLNET
      • TFTP
      • XDMCP
  • 啜检查-可以在任何ASA上创建控制流,但其子数据流必须位于同一ASA上。不支持TLS代理配置。 
  • SNMP协议-SNMP代理通过其本地IP地址轮询每个单独的ASA。无法轮询群集的合并数据。如果SNMP代理轮询主群集IP,并且选择了新的主要ASA,则对新的主要ASA的轮询将失败。 
  • 特技 - Supported in failover 和 cluster modes as pinholes are replicated but transaction ID is not replicated among the 作为一个s. If an 作为一个 fails after receiving a 特技Request 和 another 作为一个 receives it, the 特技request will be dropped. 
  • Syslog和Netflow-群集中的每个ASA都会生成自己的syslog消息,并且可以配置为在syslog消息标头中使用相同或不同的设备ID。借助Netflow,每个群集还可以生成自己的Netflow流,并且收集器会将每个ASA视为单独的Netflow导出器。 
  • 信任安全-主要ASA学习SGT,然后将该信息填充到次要ASA,以便他们可以自己做出匹配决定
  • 虚拟专用网-站点到站点VPN是一项集中功能,只有主站点才能支持它。如果使用Spanned EtherChannel,则连接将自动转发到主ASA。 
  • 单个接口不支持VXLAN,但是跨接的EtherChannel支持VXLAN。
  • IS-IS is not supported in Spanned EtherChannel but it is 与 Individual Interfaces. 

 

主要和次要角色-

  • 在任何群集中,将只有一个单一的主要ASA,而其余的ASA将是次要的
  • Primary(优先级)由优先级决定,可以在1到100之间设置。1是最高优先级。 
  • If nothing is altered 与 优先 from their default, it's the first 作为一个 that comes up that will be the primary 
  • 配置仅在主ASA上完成,并在初始设置后复制到其他ASA
  • 选举小学:
    • 最初,新配置为集群的ASA将每3秒广播一次选举
    • 作为一个s 与 a higher 优先 will respond to that election request. 
    • 如果在45秒内没有任何其他ASA的响应,则该ASA将成为主要服务器。注意:如果成员以后加入具有更高的优先级,则在主要节点停止响应或您手动强制ASA成为主要节点之前,不一定会成为主要成员  
  • 当集群中的ASA发生故障时,流量将传输到其他ASA。如果主服务器发生故障,则具有第二高优先级的ASA将成为主服务器。根据失败的类型,失败的ASA可能会自动尝试重新加入。 

 

管理-

  • 管理界面-建议将ASA的专用管理界面用作单独的界面。这使您可以为某些事情(例如TFTP,获取系统日志等)连接到单个ASA。  
  • 主群集-整个群集的管理和监视通常在主群集上进行。如果需要,您还可以从主ASA对辅助ASA进行文件管理。主要服务器不提供的功能有:
    • 监视每个单位群集的特定状态
    • Syslog monitoring per unit 与 the exception of syslogs sent to the console when console replication is 使能
    • SNMP协议
    • 净流量 

 

接口-

  • 只能为群集配置一种类型的接口模式:Spaneded EtherChannel Mode或Individual Interface Mode。您不能在集群中混合接口类型。 
  • 跨接的EtherChannel模式-建议使用此模式。您可以将每个ASA的一个或多个接口分组为一个跨越群集中所有单元的捆绑包。您可以在路由或透明模式下使用Spanned EtherChannel。在透明模式下,您必须将IP地址分配给BVI,而不是网桥组成员接口。 
  • 单独接口模式-仅在路由模式下可用,因为它们是具有自己的本地IP地址的路由接口。这比端口通道更不可取,因为此方法需要路由协议来负载均衡流量,并且收敛速度较慢。由于必须从主ASA配置所有内容,因此可以配置要在群集成员的给定接口上使用的IP地址池,而在主ASA上配置一个IP地址。主节点将具有一个主群集IP地址,该地址将是始终属于该主节点并充当该主节点的辅助IP地址的群集的固定地址。本地IP地址用作路由地址,而主群集IP地址则提供了用于一致的管理访问的IP地址-这样,如果主服务器发生更改,则主群集IP会随其一起移动。 
  • 群集控制链接(CCL)-控制用于主选举,配置复制和运行状况监视的控制流量,以及用于状态复制和连接所有权查询以及数据包转发的数据流量。需要与第2层相邻并且在同一子网上具有IP。您要确保用于CCL的链接可以处理大量流量。 发送到它的流量可能会有所不同,但肯定会激增。要知道的另一件事是,在进行更改时,更高带宽的CCL将帮助群集更快地收敛。最佳实践是将端口通道用于CCL,并将其连接到其他使用多机箱端口通道的交换机,作为使用VSS或vPC的交换机,并记住ASA上的端口通道不在其他成员之间跨越,因为这是ASA的群集控制链接,每个ASA都必须加以处理。 对于可用于CCL的链接类型,有一些警告: 
    • 无法使用VLAN子接口 
    • 无法使用管理界面 
  • Other things to be aware of 与 the CCL: 
    • 延迟时间必须小于或等于20毫秒
    • 不能有任何乱序或丢包
  • 如果ASA的CCL关闭,则会禁用群集,并且数据接口也会关闭。手动重新加入集群并重新启用集群以启动它。在此期间,管理界面将保持打开状态

 

使用群集,您可以使用以下可用选项来实现负载平衡- 

  • 跨接的EtherChannel-这不仅是推荐的群集方法,而且还提供了更快的收敛和故障发现。 建议在捆绑包中使用相同种类的线卡,并在捆绑包的两侧使用相同的负载平衡哈希算法。
  • 从上游和下游路由器到路由防火墙的PBR-如果您已经在使用PBR,则建议使用。它将基于路由图和ACL做出决策。这是一个更静态的选项。建议您创建一个PBR策略,该策略将连接的数据包转发和返回到同一物理ASA。 
  • 上游路由器和下游路由器之间到路由防火墙之间的ECMP路由-这是在使用单个接口时。尽管仅使用端口通道,但IT收敛速度可能会较慢。 绝对不建议使用静态路由,因为除非您使用对象跟踪,否则故障会在发生这种情况时引起问题。动态路由协议总体上更好。

 

复制- 

  • 数据路径连接状态-连接在群集中具有一个所有者和备份所有者。仅当备份所有者通过查看TCP / UDP状态信息而发生故障时才接管备份,并将连接转移到那里。
    注意:SNMP ID和站点到站点VPN状态信息不会复制。跨集群复制的功能:
    • 上班时间
    • ARP表(仅透明)
    • MAC地址表(仅透明)
    • 用户身份(uauth和身份防火墙的AAA规则)
    • IPv6邻居数据库 
    • 动态路由
  • 配置-群集中的所有ASA将共享一个配置,您只能在主服务器上对此配置进行更改。进行更改后,它会在整个群集中复制。
  • RSA密钥复制-在主单元上创建RSA密钥时,会将其复制到其他单元

 

群集的运行状况监视-

  • 作为一个运行状况-主节点通过CCL定期向每个辅助节点发送保持活动状态,以确保它们正常运行。如果未能通过keepalive健康检查,主数据库将从集群中将其删除
  • 接口-每个ASA监视其接口的链接状态并将其报告给主服务器。启用运行状况监视后,默认情况下会为所有接口启用运行状况监视,但是可以对其进行调整,您可以针对每个接口将其关闭。如果受监视的接口出现故障,那么将从集群中删除该成员,因此这可能是您要控制的事情之一。 

 

作为一个连接管理-

  • 该管理对于平衡集群成员的负载以及接收到连接后的处理方式非常重要。
  • 可以为连接定义3个不同的ASA角色:
    • 所有者-接收连接的初始ASA&保持TCP状态。单个连接只能有一个所有者。 作为一个拥有连接的两个方向。为了获得最佳性能,请确保您的ASA接收流的两个方向。
    • 控制器-该ASA处理来自转发器的所有者查找请求并维护连接状态。如果所有者失败,它将作为备份。这不是静态分配-所有者ASA将基于对源/目标IP地址和TCP端口的攻击来选择控制器,并将消息发送给新控制器。每个连接只有一位导演
    • 转发器-该ASA可能会收到连接的数据包,并且既不是所有者的主管。相反,它将转发数据包管理器,后者将流转发给所有者。有时,SYN数据包中可以包含所有者,因此ASA始终将其转发给控制器并不是一条硬性规定-如果它能够以某种方式从数据包中获得所有者,则将其直接转发给所有者。集群的最佳吞吐量是通过负载平衡方法实现的,其中连接的所有数据包均由所有者接收。 
  • 可以配置过载的单元,以将新的TCP流重定向到其他单元
  • PAT可以影响谁成为新连接的成员:
    • 每会话PAT-所有者是接收初始连接的ASA
    • 多会话PAT-所有者始终是主要的ASA。您可以更改TCP / UDP的每会话PAT默认值,以便根据配置按会话或多会话处理连接。无法从默认的多会话PAT更改ICMP。
       

动态路由和群集- 

  • 跨区EtherChannel模式- 
    • 不支持IS-IS
    • 路由协议仅在主ASA上运行,并且路由复制到辅助ASA
    • 到达辅助ASA的路由数据包将重定向到主要ASA
    • 从主要ASA了解路由后,各个ASA将独立做出转发决定 
    • OSPF LSA数据库没有从主要单元同步到辅助单元,因此,如果有主要ASA切换,则相邻路由器将检测到重新启动-这不是透明的故障切换。您可能希望研究不间断转发以解决此问题。 
  • 个别介面模式- 
    • 每个ASA作为独立路由器运行路由协议,并且独立学习路由 
    • 您应该为路由器ID配置一个集群池,以便每个单元都有一个单独的路由器ID。
    • 为避免路由不对称和可能的流量损失,请将所有ASA接口归为同一流量区域

 

站点间群集- 

  • 作为一个群集可用于站点间群集,但是您必须确保DCI可以容纳群集控制链接的带宽。根据ASA和站点的数量,这可能是重要的设计考虑因素。计算应遵循以下原则:
  • 为此,您可以将每个群集成员配置为属于一个单独的站点ID,该ID将与站点特定的MAC地址和IP地址一起使用。来自群集的数据包将使用特定于站点的MAC和IP,而群集接收的数据包将使用全局MAC和IP地址,以防止交换机从不同端口上的两个站点学习相同的MAC地址,并导致MAC震荡。 
  • Flow mobility can be 使能d using LISP inspection 与 the Site IDs:
    • VMware可能会在站点之间迁移,并且为了支持此LISP可以对其进行更新,以确保将流量发送到正确的站点。 
    • 作为一个本身不会运行LISP,但是它可以检查LISP来监视位置更改,并将此信息用于群集操作,因此流量和流量不会流到与最近的ASA不同的站点中的错误群集成员。 
    • 为了使其正常工作,ASA群集成员必须位于站点的第一跳路由器和ITR或ETR之间,并且ASA群集不能是扩展网段的第一跳路由器。这仅适用于完全分布的流,并且群集仅移动第3层和第4层的流状态。短暂的流或非关键的流可能不值得移动,可以对其进行调整,以免浪费资源。 
    • 作为一个检查UDP端口4342上的LISP流量中是否有从第一跳路由器和ITR或ETR发送的EID通知消息。 
  • 当对多播RP使用单独的接口模式和ECMP时,建议对RP IP地址下一跳使用静态路由,因为这样可以防止将单播PIM寄存器数据包发送到可能会丢弃它的辅助设备。 
  • 不建议配置连接重新平衡,因为这可能会重新平衡不同站点上的成员
  • 透明模式有一些有趣的警告: 
    • 如果群集位于一对内部和外部路由器之间,请确保两个内部路由器共享一个MAC地址,并且两个外部路由器共享一个MAC地址。 
    • 如果放置在用于东西向流量的数据网络之间,则每个网关路由器应使用FHRP在每个站点上提供相同的虚拟IP和MAC地址目的地。

 

失败-

  • 如果ASA离开群集并无法重新加入,则其数据接口将保持关闭状态,但其管理接口将保持打开状态并能够进行通信 
  • 根据将其从集群中删除的方式,可以将其重新加入。这是基于故障的行为:
    • CCL down upon initial join- Needs to be rejoined manually 与 集群组 名称 然后 使能
    • 加入后CCL失败-默认情况下,ASA会自动尝试每5分钟自动重新加入,除非另行配置
    • 数据接口失败-ASA自动尝试在5分钟,10分钟,然后20分钟后重新加入。如果那时候无法重新加入,则必须手动重新加入 with 集群组 名称 然后 使能
    • 作为一个失败 由于运行状况检查-在重新启动电源或解决故障后应重新加入。届时,它将尝试每5秒自动重新加入群集。

 

有关群集的建议-

  • For the cluster control link 接口s on the switch side, 使能 Spanning Tree PortFast to speed up the join process 与 new units
  • 对于Spaned EtherChannel,您可以为交换机上的各个接口快速启用LACP速率,以加快捆绑速度
  • 在交换机上,建议使用 源目标IP 要么 Source-dest-ip-port 算法,请勿使用 虚拟局域网 关键词。 
  • 如果可以避免,则除了已配置的保持活动间隔外,端口通道捆绑停机时间不应
  • 当拓扑更改发生在您发现自己添加或删除EtherChannel接口的位置时,请禁用运行状况检查功能,并在使用时禁用那些禁用接口的接口监视。 

 

群集的默认设置- 

  • With Spanned EtherChannels, cLACP system ID is auto-generated 与 system 优先 of 1
  • Cluster health check 使能d by default 与 holdtime of 3 秒. Interface health monitoring is 使能d on all 接口s
  • 失败的群集控制链接的群集自动重新加入功能每5分钟进行一次无限制尝试。 
  • Cluster auto-rejoin features for failed data 接口 is 3 attempts every 5 minutes 与 increasing interval set to 2
  • 默认情况下,HTTP通信的连接复制延迟为5秒

 

为了建立丛集-

  • 作为一个s must be the same model 与 the same amount of DRAM
  • 映像升级时必须具有相同的软件,但支持无中断升级
  • 必须为相同的安全上下文模式(单个或多个)
  • 如果处于单上下文模式,则必须为相同的防火墙模式-路由或透明
  • 新成员必须使用相同的SSL加密设置 
  • 集群控制链接-这是一个隔离的高速背板网络
  • 对每个ASA的管理访问权限,这对于所有配置和监视都是必不可少的
  • 群集控制链接将仅支持IPv4

 

配置集群-

  • 要查看任何不兼容的配置以便可以修复配置,请使用以下命令:
    集群接口模式{个人|跨度}查看详细信息
  • 首先配置接口模式。没有默认设置,必须明确选择它:
    集群接口模式{个人|跨度}力
    You can also remove the 接口 mode 与 the 无群集接口模式 命令。
  • 在主节点上配置接口:
    • 单独接口模式-这些是从IP地址池中提取的常规路由接口,而主群集IP地址是属于群集主要对象的固定IP。如果您有多个上下文,则需要在进行操作时配置每个上下文。 
      • 配置本地IP地址池:
        IPv4: IP本地池 池名第一个地址最后一个地址 [面具 面具]
        IPv6: ipv6本地池 池名ipv6-address /前缀长度地址数
      • Or enter 接口 config mode 和 configure the 名字, IP地址, security 水平, etc 和 configure the cluster IP 与 集群池 there: 
        接口 接口 
        (可选的) 仅限管理
        名字 名称 
        安全级别
        IPv4: IP地址 ip地址[掩码] 集群池 池名 
        IPv6: ipv6地址 ipv6-address / prefix-length 集群池 池名
        没有关机
    • 跨越EtherChannel模式-如果处于多上下文模式,则必须在每个上下文中对其进行配置。如果您处于透明模式,则必须配置网桥组。除非绝对需要,否则不建议在ASA或交换机上的EtherChannel中配置最大或最小链接。不建议将ASA上的默认负载均衡算法更改为默认设置。在交换机上,建议将其更改为 源目标IP 要么 Source-dest-ip-port。的 lacp端口优先级lacp系统优先级 命令不用于跨区EtherChannel。 
      • 配置要添加到通道组的接口:
        接口 接口 
        频道组 ID 模式活动[vss-id {1 | 2}] <-ID在1到48之间。如果尚未配置,则将在接口上对其进行配置。 
        没有关机
      • 转到端口通道并将其配置为Spaned EtherChannel:
        接口端口通道 ID
        端口通道跨集群[vss-load-balance] -如果要将其连接到VSS或vPC中的多个交换机,请使用 vss负载平衡 关键词。您必须配置 vss-id 在启用负载平衡之前,请在channel-group命令中为每个成员使用关键字。 
        注意:在端口通道上设置以太网属性将覆盖在各个接口上设置的属性。您也可以在端口通道上创建VLAN子接口。 
      • 如果您处于多上下文模式,请确保将接口分配给上下文:
        语境 名称 
        分配接口端口通道 ID
      • 配置接口:
        • 路由模式:
          接口端口通道 ID
          名字 名称
          安全级别
          IPv4: IP地址 ip地址[掩码]
          IPv6: ipv6地址 ipv6-prefix / prefix-length
        • 透明模式:
          接口端口通道 ID
          名字 名称
          安全级别
          桥群
          注意:网桥组可以在1到100之间。每个网桥组最多可以有64个接口。 
      • 为跨区EtherChannel配置全局MAC地址:
        MAC地址 MAC地址
        This MAC address stays 与 the current primary 作为一个. If you're using multi-context, you should 使能 auto-generation of MAC address. 
      • 对于站点间群集,请为每个站点配置特定于站点的MAC地址和IP地址: 
        MAC地址 MAC地址 网站编号
  • 配置主要ASA引导程序设置: 
    • 注意:如果您处于多上下文模式,则要在系统空间中配置设置。 
    • It's recommended to 使能 jumbo frame reservation for use 与 the cluster control link
    • 您必须被控制台到ASA中才能启用群集-您不能远程执行。
    • 在加入集群之前,请启用集群控制链接。注意事项:由于未复制此配置,因此必须在每个ASA上分别启用它。您不能将VLAN子接口或管理接口用作群集控制链接。 
      接口 接口 
      频道组 ID 模式开启 -如果您为CCL使用端口通道,则这是可选的。如果这样做,则可以在端口通道接口下配置其余的配置。 
    • (可选)如果您希望将其配置为超过默认值1500,则建议为1600字节或更多。 
      大帧保留
      MTU集群 个字节 
    • 这将命名集群组并进入集群配置模式
      集群组 名称 
      • 命名集群成员
        本地单位 单位名称
      • 指定集群控制链接接口。接口上没有配置名称。 
        集群接口 接口 ip IP地址
      • 如果是站点间群集,请设置站点ID:
        网站编号
      • 为主要单位选举设置ASA的优先级:
        优先
      • (可选)您可以配置身份验证密钥
      • (可选)您可以在LACP中配置动态端口优先级
        clacp静态端口优先级
      • (可选)您可以手动指定cLACP系统ID和系统优先级:
        clacp system-mac {MAC地址 |自动} [系统优先级
      • 启用集群:
        启用[noconfirm]
  • 配置辅助ASA引导程序设置:
    • 配置与在主数据库上相同的集群控制链接接口。
    • 指定您在主服务器上配置的相同MTU
    • 配置与以前相同的群集名称:
      集群组 名称
      • Configure the local unit 名称 与 a unique setting per 作为一个:
        本地单位 名称
      • Specify the same CCL but 与 a different IP address as the primary:
        集群接口 接口 ip ip地址掩码
      • 设置站点ID:
        网站编号
      • 设置优先级:
        优先
      • 设置可选键:
      • 如果希望集群作为从站加入,则将其作为从站:
        启用从属

 

集群操作配置-

  • 集群配置模式内的集群参数:
    • 控制台复制 -如果要启用从辅助设备到主要设备的控制台复制。默认禁用。 
    • 痕量级 水平 -设置群集事件的最低跟踪级别。 
    • 健康检查[保持时间 超时] [已启用vss] -自定义群集单元运行状况检查功能。的 支持vss 旋钮允许ASA在CCL中的所有Etherchannel接口上泛洪保持活动消息,以确保至少一台交换机可以接收到它们。 
    • 没有运行状况检查监视器接口[接口 |服务模块] -在该接口或模块上禁用接口运行状况检查
    • 运行状况检查{数据接口|自动重新加入{unlimited | 集群接口} 重新加入最大} [自动重新加入接口 [自动重新加入间隔变化]] -如果您要自定义运行状况检查失败后的自动重新加入群集设置。尝试次数始终可以在0到65535之间。默认值为无限制,数据接口为3。重新尝试之间的间隔时间(以分钟为单位)可以在2到60之间,默认值为5。该设备尝试重新加入群集的最大总时间限制为14400分钟或自上次故障发生后的10天。对于通过设置增加的间隔持续时间,它可以在1到3之间。默认值对于集群接口是1,对于数据接口是2。 
    • conn-rebalance [频率 ] -为TCP流量启用连接重新平衡
  • 集群复制延迟 {http |匹配tcp {主办 IP地址 | ip地址掩码 |任何| any4 | any6} [{eq | lt | gt} 港口] {主办 IP地址 | ip地址掩码 |任何| any4 | any6} [eq | lt | gt} 港口 ]} -为TCP连接启用群集复制延迟,以减少短暂流上的不必要工作 
  • 要使用LISP流量检查来配置群集流移动性:
    • 创建一个目标IP地址与EID嵌入式地址匹配的ACL:
      访问列表 ACL名称 扩展许可ip 源地址 掩码目标地址掩码
    • 创建LISP检查图:
      策略映射类型检查Lisp 地图名
      参数
      允许访问列表
      ACL名称
      验证密钥 - 如果需要的话
    • 配置LISP检查第一跳路由器与端口4342上的ITR或ETR之间的UDP流量:
      • 配置扩展的ACL以标识LISP流量:
        访问列表 检查ACL名称 延长许可证udp 源地址掩码,目的地址掩码 当量 4342
      • 为ACL创建一个类映射:
        类图 检查类名
        匹配访问列表 检查ACL名称
      • 指定策略映射,类映射,使用可选的LISP检查映射启用检查,并将服务策略应用于接口: 
        政策图 策略映射名称
        检查类名
        检查口齿不清 检查地图名称
        s服务政策 策略映射名称 {global |接口 接口}
    • 为流量类别启用流移动性:
      • 配置扩展的ACL,以标识在服务器更改站点时要重新分配给最佳站点的关键业务流量:
        访问列表 流acl名称 延长许可证udp 源地址掩码,目的地址掩码 当量 港口 
      • 为ACL创建类映射
        类图 流图名称
        匹配访问列表 流acl名称
      • 指定启用了LISP的策略映射,流类映射,并启用流移动性:
        政策图 策略映射名称
        流图名称
        集群流动迁移率
    • 进入集群组配置模式并启用集群的流移动性:
      集群组 名称 
      流动迁移率
  • You can disable a cluster member while leaving the whole configuration intact 与 the following:
    集群组 名称 
    没有启用
  • 要停用成员:
    集群远程单元 单位名称
  • 要离开集群并删除整个集群引导程序配置:
    • 对于辅助ASA,请禁用集群,因为启用集群时您无法进行更改:
      集群组 名称 没有启用
    • 清除集群配置:
      清除配置集群
    • 禁用集群接口模式:
      无群集接口模式
    • 写记忆
  •  更改主要单位:
    集群主机 名称 
  • 在集群范围内执行命令:
    集群执行[单位 名称] 命令
  • 为每个设备上的syslog配置集群的日志记录ID:
    记录设备ID

 

其他有用的命令-

  • 集群执行捕获 -为了进行故障排除,这可以捕获主要单元上特定于群集的流量。 
  • 调试路由集群 -调试路由集群信息
  • 调试lacp群集[全部| ccp |杂项|协议] -显示cLACP的调试消息
  • 调试群集[ccp |数据路径fsm |一般| HC |执照| rpc |运输] -显示用于群集的调试消息
  • 调试集群流动性 -显示与集群流动动员有关的事件
  • 调试lisp eid-notifiy-intercept -在拦截eid-notify消息时显示事件。 

 

显示命令- 

  • 显示集群信息[健康] -显示集群中所有成员的状态。使用运行状况开关,它将显示接口,单元和整个群集的当前运行状况
  • 显示集群历史 -显示集群历史
  • 显示群集{cpu |记忆|资源} [选项] -在您选择的资源或选项上显示整个集群的聚合数据
  • 显示conn [详细信息] 要么 集群执行show conn -  第一个显示流是目录流,备份流还是转发器流。第二个命令将显示任何单元上的所有连接。 
  • 显示群集信息[conn-distribution |数据包分配|负载平衡|流动性计数器] -显示分布在所有群集单元上的流量,以帮助排除故障并调整外部负载平衡
  • 显示集群信息负载平衡 -显示连接重新平衡统计
  • 显示集群信息流移动性计数器 -显示EID移动和流程所有者移动信息 
  • 显示集群{访问列表| conn |交通|用户身份| xlate} [选项] -显示整个集群的汇总数据
  • 显示ASP群集计数器 -命令对于数据路径故障排除很有用 
  • 显示Lisp Eigp -显示显示EID和站点ID的ASA EID表
  • 显示路线cluster-显示用于路由的集群信息
  • 显示asp表分类域inspect-lisp -良好的故障排除命令 
  • 显示集群接口模式
  • 显示端口通道
  • 显示lacp cluster {system-mac |系统编号} -显示cLACP系统ID和优先级 
  • 显示界面 -使用时应显示站点MAC地址的使用
  • 显示集群信息跟踪 -显示调试信息以进行进一步的故障排除