::: hljs-center
:::
1、集群技术介绍
① 集群技术Cluster可以把多个防火墙设备组建为一个单一逻辑设备
② 在提供单个设备所具备的所有便利的同时,又能实现设备的冗余以及性能的叠加
2、集群性能介绍
当你将多个单元组合到一个集群中时,您可以预期大约的性能总和为:
① 70%的综合吞吐量
② 最大连接数的60%
③ 每秒50%的连接数
例如,单个ASA 5585-X实时处理速率约为10Gbps
若将8个单位5585-X执行集群,集群之后能够实现的最大联合吞吐量将是:( 8 10Gbps) 70% = 56Gbps
意味着集群后的性能并不能得到完全的叠加提升
3、支持执行叠加的最大单元数量
::: hljs-center
:::
4、集群角色选举过程
① 当你把设备加入一个集群,或已加入集群的设备启动时,这些设备将每隔3秒广播一次选举请求
② 任何优先级高于该选举请求的单位都会对选举请求作出反应
③ 如果45秒后,一个单元没有接收到具有较高优先级的另一个单元的响应,它将成为主单元
④ 一个单元若以更高的优先级后续加入已选举好主单元的集群,它不会自动成为主单元,现有的主单元始终保持为主单元,除非它停止响应,此时将选出一个新的主单元
Owner、 Director、 Forwarder 角色
假设有三个ASA执行为一个集群,客户端发送SYN数据包,随机挑选一个ASA作为转发设备,该设备就是Owner
#
状态化信息就会在Owner上产生(随机,非固定)通过算法挑选出一个ASA作为一个连接的固定Director,Owner会把状态化信息存储到Director上
#
Server回复SYN+ACK,随机挑选一个ASA转发,该ASA就是Forwarder。Forwarder没有状态化信息,通过算法找到该连接的Director,在通过Director找Owner,把该包交给Owner转发也可以直接基于Cookies信息,找到Owner
::: hljs-center
:::
5、集群部署模式
① Spanned EtherChannel(推荐)
如图,左边的交换机为一个PortChannel,右边为多个ASA的接口捆绑成一个PortChannel配置简单,自动负载均衡
::: hljs-center
:::
② Individual Interfaces Routed Firewall Mode Only
先配置主单元地址,然后配置一个地址池,后续加入的次单元都从主单元处获取地址,通过部署动态路由协议,建立邻居实现等价多路径负载均衡
::: hljs-center
:::
6、集群技术控制链路
每个单元至少提供一个硬件接口作为集群控制链路(不包括子接口)控制链路流量概览,包括控制和数据通信流量。
控制流量包括:
① 主单元选举流量
② 配置复制
③ 健康监控
数据流量包括:
① 状态复制
② 查询状态信息拥有者并转发
推荐对控制链路执行冗余!
集群技术控制链路
① 若集群控制链路失效,那么该集群的所有数据接口将全部关闭
② 但管理接口不受影响,依然可以通过登录管理接口来进行问题诊断和排错
::: hljs-center
:::
