机箱心跳故障后重新加入集群的可配置延迟 (Firepower 4100/9300)
9.20(2)
默认情况下,如果机箱心跳失败然后恢复,则节点会立即重新加入集群。但是,如果配置 health-check chassis-heartbeat-delay-rejoin 命令,则它将根据 health-check system auto-rejoin 命令的设置重新加入。
新增或修改的屏幕:配置 (Configuration) > 设备管理 (Device Management) > 高可用性和可扩展性 (High Availability and Scalability) > ASA 集群 (ASA Cluster) > 自动重新加入 (Auto Rejoin)
流状态的可配置集群保持连接间隔
9.20(1)
流所有者向导向器和备份所有者发送保持连接(clu_keepalive 消息)和更新(clu_update 消息),以刷新流状态。您现在可以设置保持连接的间隔。默认值为 15 秒,您也可以将间隔设为 15 到 55 秒。您可能想将间隔设置得更长,以减少集群控制链路上的流量。
新增/修改的菜单项:配置 (Configuration) > 设备管理 (Device Management) > 高可用性和可扩展性 (High Availability and Scalability) > ASA 集群 (ASA Cluster) > 集群配置 (Cluster Configuration)
删除偏差语言
9.19(1)
包含术语“主”和“从”的命令、命令输出和系统日志消息已被更改为“控制”和“数据”。
新增/修改的命令:cluster control-node 、enable as-data-node 、prompt 、show cluster history 、show cluster info
改进了 Firepower 4100/9300 上集群的 PAT 端口块分配
9.16(1)
改进的 PAT 端口块分配可确保控制设备保留端口以供加入节点,并主动回收未使用的端口。为了最好地优化分配,您可以使用 cluster-member-limit 命令来设置您计划在集群中拥有的最大节点数。然后,控制单元可以分配端口块到计划的节点数量,并且不必为您不打算使用的额外节点预留端口。默认值为 16 节点。您还可以监控系统日志 747046,以确保有足够的端口可用于新节点。
新增/修改的菜单项:配置 > 设备管理 > 高可用性和可扩展性 > ASA 集群 > 集群配置 > 集群成员限制 字段
show cluster history 命令改进
9.16(1)
我们为 show cluster history 命令添加了其他输出。
新增/修改的命令:show cluster history brief 、show cluster history latest 、show cluster history reverse 、show cluster history time
并行配置同步到数据设备
9.14(1)
控制设备现在默认将配置更改并行同步到数据设备。以前,同步是按顺序发生的。
新增/修改的菜单项:配置 > 设备管理 > 高可用性和扩展性 > ASA 集群 > 集群配置 > 启用并行配置复制复选框
集群加入失败或逐出的消息已添加到 show cluster history
9.14(1)
关于集群设备无法加入集群或离开集群的新消息添加到了 show cluster history 命令。
新增/修改的命令:show cluster history
新增/修改的屏幕:无。
集群中的“死连接检测”(DCD) 支持的发起方和响应方信息。
9.13(1)
如果启用死连接检测(DCD),则可以使用该 show conn detail 命令获取有关发起人和响应方的信息。通过死连接检测,您可以保持非活动连接,并且 show conn 输出会告诉您终端的探测频率。此外,在集群中现在还支持 DCD。
未修改任何菜单项。
监控集群的流量负载
9.13(1)
现在,您可以监控集群成员的流量负载,包括总连接计数、CPU 和内存使用情况以及缓冲区丢弃。如果负载过高,且剩余的设备可以处理负载,您可以选择在设备上手动禁用集群,或调整外部交换机上的负载均衡。默认情况下启用此功能。
新增/修改的屏幕:
-
配置 > 设备管理 > 高可用性和可扩展性 > ASA 集群 > 集群配置 > 启用集群负载监控复选框
-
监控 > ASA 集群 > 集群负载监控
加快加入集群的速度
9.13(1)
当数据设备与控制设备具有相同的配置时,它将跳过同步配置步骤并更快加入。默认情况下启用此功能。此功能在每个设备上分别配置,不会从控制设备复制到数据设备。
| 注 | 某些配置命令与加速集群加入不兼容;如果设备上存在这些命令,即使已启用加速集群加入,也将始终出现配置同步。您必须删除不兼容的配置,以加速集群加入工作。使用 show cluster info unit-join-acceleration incompatible-config 查看不兼容的配置。 |
新增/修改的菜单项:配置 > 设备管理 > 高可用性和可扩展性 > ASA 集群 > 集群配置 > 启用配置同步加速复选框
适用于集群的每站点免费 ARP
9.12(1)
现在,ASA 可以生成免费 ARP (GARP) 数据包,以确保交换基础设施始终处于最新状态:它将作为每个站点优先级最高的成员,定期生成流向全局 MAC/IP 地址的 GARP 流量。当使用来自集群的各站点 MAC 和 IP 地址数据包使用站点特定的 MAC 地址和 IP 地址时,集群接收的数据包使用全局 MAC 地址和 IP 地址。如果流量不是定期从全局 MAC 地址生成的,您的全局 MAC 地址交换机上可能会出现 MAC 地址超时。发生超时后,以全局 MAC 地址为目标的流量将在整个交换基础设施中进行泛洪,这有可能造成性能和安全问题。当您为每台设备设置站点 ID 和为每个跨区以太网通道设置站点 MAC 地址时,默认情况下会启用 GARP。
新增/修改的菜单项:配置 > 设备管理 > 高可用性和可扩展性 > ASA 集群 > 集群配置 > 站点周期 GARP 字段
设备按机箱并行加入集群
9.10(1)
对于 Firepower 9300,此功能可确保机箱中的安全模块同时加入集群,以便在模块之间均匀分配流量。如果某个模块先于其他模块很早加入,它可能会收到超过所需的流量,因为其他模块还无法分担负载。
新增/修改的菜单项:
配置 > 设备管理 > 高可用性和可扩展性 > ASA 集群
新增/修改的选项:按机箱并行加入设备区域
Firepower 4100/9300 的集群控制链路可自定义 IP 地址
9.10(1)
默认情况下,集群控制链路使用 127.2.0.0/16 网络。现在,可以在 FXOS 中部署集群时设置网络。机箱根据机箱 ID 和插槽 ID 自动生成每个设备的集群控制链路接口 IP 地址:127.2.chassis_id.slot_id。但是,某些网络部署不允许 127.2.0.0/16 流量通过。因此,您现在可以为 FXOS 中的集群控制链路设置一个自定义的 /16 子网(环回 (127.0.0.0/8) 和组播 (224.0.0.0/4) 地址除外)。
新增/修改的 机箱管理器 菜单项:
逻辑设备 > 添加设备 > 集群信息
新增/修改的选项:CCL 子网 IP 字段
集群接口防反跳时间现在应用于从故障状态更改为正常运行状况的接口
9.10(1)
在发生接口状态更新时,ASA 会等待 health-check monitor-interface debounce-time 命令或 ASDM 配置 > 设备管理 > 高可用性和可扩展性 > ASA 集群菜单项中指定的毫秒数,然后才将接口标记为发生故障,并将设备从集群中删除。此功能现在应用于从故障状态更改为正常运行状态的接口。例如,对于从故障状态转换为正常运行状态的 EtherChannel(例如,交换机重新加载或交换机启用 EtherChannel)而言,更长的防反跳时间可以防止集群上的接口仅仅因为另一个集群设备在绑定端口时的速度更快便显示为故障状态。
未修改任何菜单项。
内部故障后自动重新加入集群
9.9(2)
过去,许多错误条件导致集群设备从集群中移除,并且在解决问题后需要手动重新加入集群。现在,设备默认将尝试以下列时间间隔自动重新加入集群:5 分钟、10 分钟以及 20 分钟。这些值是可配置的。内部故障包括:应用程序同步超时、不一致的应用程序状态等。
新增或修改的菜单项:配置 > 设备管理 > 高可用性和可扩展性 > ASA 集群 > 自动重新加入
显示集群可靠传输协议消息的传输相关统计信息
9.9(2)
现在,您可以查看每台设备的集群可靠传输缓冲区使用情况,因此您可以确定在控制平面的缓冲区已满时发生的丢包问题。
新增或修改的命令:show cluster info transport cp detail
cluster remove unit 命令行为与 no enable 行为匹配
9.9(1)
现在,cluster remove unit 命令将从集群中删除一个设备,直到您手动重新启用集群或重新加载,类似于 no enable 命令。以前,如果从 FXOS 重新部署了引导程序配置,则集群会重新启用。现在,即使重新部署了引导程序配置,仍然保持禁用状态。但是,重新加载 ASA 将重新启用集群。
新增或修改的菜单项:配置 > 设备管理 > 高可用性和可扩展性 > ASA 集群
改进了机箱运行状况检查故障检测
9.9(1)
现在,您可以为机箱运行状况检查配置较低的保持时间:100 毫秒。以前的最小值为 300 毫秒。请注意,最小组合时间(间隔x重试计数)不能小于 600 毫秒。
新增或修改的命令:app-agent heartbeat interval
无 ASDM 支持。
站点间集群冗余
站点间冗余可确保流量的备份所有者将始终位于不同于该所有者的另一站点。此功能可防范站点发生故障。
新增或修改的屏幕:配置 > 设备管理 > 高可用性和可扩展性 > ASA 集群
通过 Firepower 9300 上的集群支持分布式站点间 VPN
Firepower 9300 上的 ASA 集群在分布式模式下支持站点间 VPN。使用分布式模式能够在 ASA 集群的成员之间分布多个站点间 IPsec IKEv2 VPN 连接,而不仅分布在控制设备上(如集中模式一样)。这将在集中式 VPN 功能的基础上大幅扩展 VPN 支持,并提供高可用性。分布式站点间 VPN 在最多由两个机箱组成的集群上运行,每个机箱最多包含三个模块(集群成员总共包含六个),每个模块最多支持 6K 个活动会话(总共 12K 个),最多支持大约 36K 个活动会话(总共 72K 个)。
新增或修改的菜单项:
监控 > ASA 集群 > ASA 集群 > VPN 集群摘要
监控 > VPN > VPN 统计信息 > 会话
配置 > 设备管理 > 高可用性和可扩展性 > ASA 集群
向导 > 站点间
监控 > VPN > VPN 统计信息 > 会话
监控 > ASA 集群 > ASA 集群 > VPN 集群摘要
监控 > ASA 集群 > ASA 集群 > 系统资源图 > CPU/内存
监控 > 日志记录 > 实时日志查看器
改进的集群设备运行状况检查故障检测
9.8(1)
现在可为设备运行状态检查配置更短的保持时间:最小值为 0.3 秒。过去的最小值为 0.8 秒。此功能可将设备运行状态检查消息传递方案从控制平面中的 keepalives 更改为数据平面中的 heartbeats。使用心跳设置可改进集群的可靠性和响应能力,使其不易受控制平面 CPU 占用和调度延迟所影响。请注意,配置较低的保持时间值会增加集群控制链路消息活动。我们建议您在配置低保持时间值之前先分析网络状况;例如,确保在保持时间/3 范围内通过集群控制链路返回从一台设备到另一台设备的 ping,因为在一个保持时间间隔内有三次心跳消息。如果在将保持时间设置为 0.3 - 0.7 后对 ASA 软件降级,则此设置将恢复为默认的 3 秒,因为新设置不受支持。
修改了以下菜单项:配置 > 设备管理 > 高可用性和可扩展性 > ASA 集群
Firepower 4100/9300 机箱 可配置防反跳时间,以将接口标记为发生故障
9.8(1)
您现在可以配置 ASA 将接口视为发生故障并将设备从集群中删除之前经过的防反跳时间。此功能可以加快接口故障检测的速度。请注意,如果配置的防反跳时间较低,会增加误报几率。在发生接口状态更新时,ASA 会等待指定的毫秒数,然后才将接口标记为发生故障,并将设备从集群中删除。默认的防反跳时间是 500 毫秒,该时间的范围是 300 毫秒至 9 秒。
新增或修改的菜单项:配置 > 设备管理 > 高可用性和可扩展性 > ASA 集群
Firepower 4100/9300 机箱上的 ASA 的站点间集群改进
9.7(1)
现在,您可以在部署 ASA 集群时为每个 Firepower 4100/9300 机箱配置站点 ID。以前,您必须在 ASA 应用中配置站点 ID;此新功能简化了最初的部署。请注意,您不能再在 ASA 配置中设置站点 ID。此外,为了实现与站点间集群的最佳兼容性,我们建议您升级到 ASA 9.7(1) 和 FXOS 2.1.1,升级版包含对稳定性和性能的多项改进。
修改了以下菜单项:配置 > 设备管理 > 高可用性和扩展性 > ASA 集群 > 集群配置
导向器本地化:数据中心的站点间集群改进
9.7(1)
为了提高性能和将流量保存在数据中心站点间集群的某个站点内,您可以启用导向器本地化。新的连接通常实现了负载均衡,并且由特定站点中的集群成员拥有。但是,ASA 会向任意 站点的成员分配导向器角色。导向器本地化支持其他导向器角色:与所有者同一站点的本地导向器和可位于任意站点的全局导向器。将所有者和导向器保留在同一站点可以提高性能。此外,如果原始所有者发生故障,本地导向器将在同一站点选择新的连接所有者。当集群成员收到属于其他站点的连接的数据包时,使用全局导向器。
修改了以下屏幕:配置 > 设备管理 > 高可用性和可扩展性 > 集群配置
支持 16 个机箱 Firepower 4100 系列
9.6(2)
现在,您可以向 Firepower 4100 系列的集群中添加最多 16 个机箱。
未修改任何菜单项。
支持 Firepower 4100 系列
9.6(1)
使用 FXOS 1.1.4,ASA 在 Firepower 4100 系列上支持机箱间集群。
未修改任何菜单项。
在路由、跨区以太网通道模式下支持站点特定的 IP 地址
9.6(1)
对于使用跨区以太网通道的路由模式下的站点间集群,除了站点特定的 MAC 地址以外,现在还可配置站点特定的 IP 地址。添加站点 IP 地址后,允许您对重叠传输虚拟化 (OTV) 设备使用 ARP 检测来防止通过数据中心互联 (DCI) 传输的全局 MAC 地址的 ARP 响应(可能导致路由问题)。对于无法使用 VACL 来过滤 MAC 地址的某些交换机,需要使用 ARP 检测。
修改了以下菜单项:配置 > 设备设置 > 接口设置 > 接口 > 添加/编辑 EtherChannel 接口 > 高级
16 个模块的机箱间集群,以及 Firepower 9300 ASA 应用的站点间集群
9.5(2.1)
现在您可利用 FXOS 1.1.3 启用机箱内集群,并扩展至站点间集群。最多可以包含 16 个模块。例如,您可以在 16 个机箱中使用 1 个模块,或者在 8 个机箱中使用 2 个模块,也可以使用最多提供 16 个模块的任意组合。
未修改任何菜单项。
在路由防火墙模式下,跨区以太网通道支持站点间集群的站点特定的 MAC 地址
9.5(2)
现在您可以在路由防火墙模式下对跨区以太网通道使用站点间集群。要避免 MAC 地址摆动,请为每个集群成员配置一个站点 ID,这样就可在站点的设备间共享每个接口的站点特定 MAC 地址。
修改了以下屏幕:配置 > 设备管理 > 高可用性和可扩展性 > ASA 集群 > 集群配置
自定义接口或集群控制链路发生故障时的 ASA 集群自动重新加入行为
9.5(2)
现在您可以自定义接口或集群控制链路发生故障时的自动重新加入行为。
引入了以下屏幕:配置 > 设备管理 > 高可用性和可扩展性 > ASA 集群 > 自动加入
ASA 集群支持 GTPv1 和 GTPv2
9.5(2)
ASA 集群现在支持 GTPv1 和 GTPv2 检测。
未修改任何菜单项。
TCP 连接的集群复制延迟
9.5(2)
该功能可以延迟导向器/备份流的创建,从而避免与短期流量相关的“不必要的工作”。
引入了以下菜单项:配置 > 设备管理 > 高可用性和可扩展性 > ASA 集群复制
针对站点间流移动性的 LISP 检测
9.5(2)
思科定位编号分离协议 (LISP) 架构将设备身份与设备位置分离开,并分隔到两个不同的编号空间,使服务器迁移对客户端透明化。ASA 可以通过检测 LISP 流量确定位置更改,并使用此信息进行无缝集群操作;ASA 集群成员检查第一跳路由器与出口隧道路由器 (ETR) 或入口隧道路由器 (ITR) 之间的 LISP 流量,然后将流所有者位置更改为新站点。
引入或修改了以下菜单项:
配置 > 设备管理 > 高可用性和可扩展性 > ASA 集群 > 集群配置
配置 > 防火墙 > 对象 > 检查映射 > LISP
配置 > 防火墙 > 服务策略规则 > 协议检查
配置 > 防火墙 > 服务策略规则 > 集群
监控 > 路由 > LISP-EID 表
现在支持在故障转移和 ASA 集群中增强运营商级 NAT
9.5(2)
对于运营商级或大规模 PAT,您可以为每台主机分配端口块,而无需通过 NAT 一次分配一个端口转换(请参阅 RFC 6888)。现在支持在故障转移和 ASA 集群部署中使用此功能。
未修改任何菜单项。
可配置级别集群跟踪条目
9.5(2)
默认情况下,所有级别的集群事件都储存在跟踪缓冲区中,包括大量低级事件。要将跟踪事件级别限制为更高级别,您可以设置集群跟踪事件的最低级别。
未修改任何菜单项。
Firepower 9300 的机箱内 ASA 集群
9.4(1.150)
最多可对 Firepower 9300 机箱内的 3 个安全模块建立集群。机箱中的所有模块都必须属于该集群。
引入了以下菜单项:配置 > 设备管理 > 高可用性和可扩展性 > ASA 集群复制
![ASDM 手册 1:《思科 ASA 通用操作 ASDM 配置指南 7.20 版》 - Firepower 4100/9300 的 ASA 集群 [Cisco Secure Firewall ASA] (2024)](data:image/png;base64,iVBORw0KGgoAAAANSUhEUgAAAAEAAAABCAQAAAC1HAwCAAAAC0lEQVR42mP8/h8AAvMB+NzmkbcAAAAASUVORK5CYII=)