Cisco Support Community
отмена
Отображаются результаты для 
Вместо этого искать 
Вы имели в виду: 

Вебинар: "Отказоустойчивость с использованием Cisco ASA Clustering" - вопросы и ответы

Введение

 

Read the bio

В ходе презентации Михаил Кадер рассмотрел некоторые особенности отказоустойчивости с использованием Cisco ASA Clustering, а также ответил на вопросы о принципах работы кластера, диагностических средствах и ограничениях.

 

Вопросы и ответы

 

Q: ­SSP - напомните плиз что это­?

A: ­Процессорный модуль в ASA 5585-X­.

 

Q: ­В чем логика использования лицензии если она бесплатна?­

A: ­Вообще от нее планируют отказаться в будущем, так что вы правы - смысла нет­.

A: ­Компания хочет знать, кто использует этот функционал. Это нужно для правильного планирования ресурсов. С переходом на SMART licensing это станет ненужным.­

 

Q: ­Лицензия security+ поставляется без проблем?­

A: ­Она не содержит функций, связанных с шифрованием, так что без проблем.­

 

Q: ­Написано на предыдущем слайде, что в 9.5 есть поддержка 4500X, но в Cisco ASA Compatibility > ASA Clustering External Hardware Support этого нет, TAC сказал, что обещали, но почему-то не поддерживается.

A: ­9.5 только вышла, могли не успеть обновить всю документацию.­

 

Q: ­И по какому принципу этот список вообще формируется? Я понимаю, что скорей всего это устройства, которые равномерно умеют распределять трафик в EtherChannel.

A: ­Всё банально и просто: это устройства, прошедшие внутреннее тестирование и совместимые по типу хэширования. Не все устройства используют одинаковые алгоритмы - некоторые подмешивают chassis id и это не означает, что другие не будут работать - это означает, что асимметричного трафика может быть больше, чем нужно.­

 

Q: ­Планируется поддержка VPN?­ ­Мы правильно понимаем, что ipsec работать с кластером не будет?­

A: RA - не работает, L2L – ok.­ ­IPSec - централизованноя функция, работает только на Master.  SSL официально не поддерживается.­ ­Это связано с тем, что не существует стандартного, безопасного и поддерживаемого метода передачи сессионных ключей между устройствами.

 

Q: ­На слайде с ограничениями было написано, что не поддерживается RA VPN. Я правильно понял, что RA VPN можно настроить только в режиме Failover в "кластере" из двух Cisco ASA?­

A: ­Да, верно, мы рекомендуем использовать active-standby, либо, функционал кластеризации самого SSL VPN­.

 

Q: ­Следующие пакеты в сессии так же будут передаваться?­

A: ­для TCP - да­. Но на самом деле асимметрия не должна возникать, если EtherChannel hash вычисляется левым и правым свитчом одинаково­.

 

Q: ­Функционал RA SSL VPN в режиме active-active также работать не будет?­

A: ­Нет­.

 

Q: ­То есть через 2 АSА?­

A: ­Да, если хеш, вычисленный правым свитчом выдал нижнюю ASA, то та должна отфорвардить пакет верхней ASA­. ­Нужно правильным образом выбирать алгоритмы хэширования (и они должны совпадать на ASA и коммутаторах), тогда ассиметрии немного.­

 

Q: ­Будет доступная информация по масштабируемости кластерных соединений, задержек передачи и т.д.?­

A: Масштабируемость непредсказуема и зависит от наличия асимметрии, типа трафика и какие инспекты к нему применяются (centralized/distributed features), наличие NAT и т.д.­

 

Q: ­Если в кластере 2 устройства?­ ­Какое время реакции на отказ одной из ASA?

A: ­С точки зрения одного flow, идущего через устройство - без потери пакетов в подавляющем большинстве случаев одиночных отказов и для многих ситуаций двойных.­

 

Q: ­Что будет, если один поток (большое кол-во pps) нагрузит  одно из устройств ASA, есть механизм, чтобы направить другие сессии через другие устройства в кластере?­

A: Есть rebalancing, но это не рекомендуется или по крайней мере с осторожностью, т.к. перекидка соединения др. ASA из-за того, что эта ASA перегружена, тоже съедает ресурсы­.

 

Q: ­Какая основная причина отсутствия поддежки RA SSL VPN в режиме active-active?­

A: ­Отсутсвие стандартного и безопасного механизма передачи сессионных ключей. Невозможно сертифицировать подобные сетапы в NIST, FIPS и прочих организациях.­

 

Q: ­Новые соединения будут направлены на члена в кластере, который уже загружен?­

A: ­За балансировку отвечают внешние (относительно asa) устройства, по сути она stateless для etherchannel, но при использовании балансировщиков или ITD на Nexus может быть и интеллектуальной. Сделано так специально, чтобы избавиться от узкого места­.

 

Q: ­Есть кластер из 16 ASA

A: ­В режиме spanned EtherChannel за то, куда идет пакет, отвечают свитчи. Все, что могут ASA, - это отказаться от обработки соединения при перегрузке. Это механизм rebalancing'а. Он влияет на новые соединения. Существующие - не перебалансируются.­

 

Q: ­Одно приложение создаёт в рамках одного tcp соединения большое количество pps­

A: ­Ситуация бэкапа, например­.

 

Q: ­Этот поток падает на одно устройство­?

A: ­Верно. Так будет у всех МСЭ.­

 

Q: ­Чтобы новые соединения не шли на это устройство­?

A: ­Да, это rebalancing. Но остается вопрос, - к какой ASA попадет соединение, от которого перегруженная ASA отказалась. Та-то тоже м.б. загружена. Плюс rebalancing делается только для новых соединений­.

 

Q: ­Есть механизм, который следит за загрузкой устройств в кластере?­

A: ­Есть.­

 

­

Q: ­Правильно ли я понял, что для динамического NAT или PAT требуется столько белых адресов сколько нод в кластере?­

A: ­Верно­.

 

Q: ­КУ меня две ASA 5555-x в кластере. CCL работает через Cisco Catalyst 4948. Также как и Data Traffic. Data Traffic планируется перевести на подключение к двум Nexus 5548 (VPC). Можно ли подключать CCL напрямую без коммутатора, чтобы не тратить/занимать порт­.

A: ­Нет, так как при сбое одного устройства, второе тоже может выключится из-за мониторинга состояния CCL, либо, при проблемах с линком, вы получите split-brain.­

A: ­http://www.cisco.com/c/en/us/td/docs/security/asa/asa94/configuration/general/asa-general-cli/ha-cluster.html#pgfId-2658298­

A: ­For a 2-member cluster, do not directly-connect the cluster control link from one ASA to the other ASA. If you directly connect the interfaces, then when one unit fails, the cluster control link fails, and thus the remaining healthy unit fails.

 

Q: ­Кстати, а как понять, какие устройства не проверяют L4 checksums? В datasheets обычно такое не пишут. ­

A: ­ Можно проверить список совместимости.

 

Q: ­Можно ли для DATA и CCL использовать разные коммутаторы?­

A: ­Можно, это data plane и control plane.­

 

Q: ­Сapture будет снимать трафик только с одной ноды?­

A: ­Есть cluster-wide capture - снимает со всех­.

 

Q: ­Зачем cluster для ­ECMP?

A: ­ECMP обеспечивает stateless балансировку, в случае сбоя одной из нод будут потери пакетов, в случае кластера - нет.­

 

Q: ­Каким образом выполняется обновление ASA OS на кластере? Необходимо ли обновлять OS отдельно на каждой ноде кластера или дотаточно обновить мастера?­

A: ­Отдельно­ - ­http://www.cisco.com/c/en/us/td/docs/security/asa/asa94/configuration/general/asa-general-cli/admin-swconfig.html#73685­

 

Q: ­Кластер чекпоинта посолиднее будет­

A: ­ У CP множество ситуаций потери пакетов при граничных состояниях (чего нет у ASA), и узкое место - балансировщик.­ ­И он не работает в active-active DC.­

 

Q: ­Спасибо. понял. Значит отсавлю CCL в Catalyst 4948, как есть. А DATA перенесу в Nexus 5548­.

A: ­Хорошо.­

 

Q: ­Безопасно ли будет добавить новую ноду в уже работающий в продакшене кластер (есть ли вероятность простоя в этом случае)?­

A: ­При добавлении или удалении нод потерь трафика не происходит, это безопасно.­

 

Q: ­А cross stack EtherChannel ведь будет работать и до версии 9.5? Ну то есть он работает это факт, но это просто теперь официально поддерживается в 9.5 или что-то доделали в IOS?­

A: ­Это протестировали и описали поведение. Там есть нюансы в том, как себя поведёт кластер, если, например, у тебя развалится стек (перевыбор мастера в некоторых ситуациях может происходит довольно долго).­

 

Q: ­Почему же СР не работает в "И он не работает в active-active DC"? Это не так.­

A: ­Потому что в A-A DC у CP поддерживается довольно ограниченное количество сценариев с кучей ограничений. Миша будет про это рассказывать в конце, сами сравните.­

 

Q: ­Не совсем понял, слайд 56, как слейв узнал про ТЕРРУ до настройки кластер-линка и группы.

A: ­Мы проверяем сначала на мастере, ­в записи увидишь: Verify that the Master is operational before adding Slave members

 

Q: ­ASA SM поддерживается?­

A:  ­Нет, из-за ограничений backplane  в 6500. По этой же причине не стали делать модуль для Nexus 7k­.

 

Q: ­Симметричная нагрузка устройств  в кластере определяется корректной настройкой LAG?­

A: ­ Для L2 - да,  для L3 - алгоритм хэширования в используемом протоколе динамической маршрутизации.­

 

Q: ­А вот апгрейд кластера из двух ASA, в случае когда одна ASA уже будет с новым IOS, а вторая еще со старым, они синхронизируются и не будет version mismatch? В пределах одной ветки IOS.­

A: ­http://www.cisco.com/c/en/us/td/docs/security/asa/asa94/configuration/general/asa-general-cli/admin-swconfig.html#73685­

A: ­Нет, мы начинаем с slave, перегружаем его, делаем мастером, обновляем мастер.­

 

­

Q: ­Если между площадками пропадёт связь, то будет split brain?­

A: ­Локальная обработка трафика для площадки будет. Это, кстати, преимущество перед некоторыми другими вендорами. ­Обработка трафика стремится быть локальной, и только в случае глобальной асимметрии трафика или сбоя перенаправляется на соседнюю площадку. Избавляет от большого количества проблем.­ ­Для той площадки, на которой не осталось мастера будет выбран локальный. При восстановлении линка будет выбран новый мастер. Процесс выбора мастера вообще никак не влияет на передачу пакетов.­

 

Q: ­Возможно ли сделать схему аналогичную на слайде 68, только без OTV?­

A: ­Можно, но нужно смотреть, какой метод используется.­

 

Q: ­Например, схему с HSRP Isolation­.

A: ­Нужно делать mac-фильтры, иначе будет mac-flapping, как на Мишином примере (и МСЭ это не любят).­

 

Q: ­Контекст вопроса - есть ли возможность использовать не проприетарные протоколы для работы схемы.­

A: ­Есть вариант с FabricPath ещё. И с dark fiber. В принципе, MPLS L2 можно дотянуть до состояния похожести на darkfiber.

 

Q: ­То есть я правильно понял, что можно использовать hSRP Isolation с mac filtering вместо OTV и т.д.?­

A:  OTV  вам даёт локализацию L2 доменов, если этого не сделать, во многих ситуациях получим банальную петлю для многих сетапов, с чем надо бороться тем или иным методом.­

 

Q: ­Anyconnect работает с кластером­?

A: ­Нет­.

 

Q: ­Поддерживается ли ­SSL VPN  для кластера?

A: ­SSL VPN  для кластера не поддерживается.

 

 

 

Хотите узнать больше информации об этом событии?

 

 

 

Спросить эксперта      Contest-green-button-russian.jpg  

     

502
Просмотры
0
Полезный материал
0
Комментарии