高可用性选项
分布式 VPN 集群、负载均衡和故障转移功能是工作方式不同并具有不同要求的高可用性功能。在某些情况下,您可能会在部署中使用多项功能。以下几节介绍了这些功能:有关分布式 VPN 和故障转移的详细信息,请参阅相应版本的《ASA 常规操作 CLI 配置指南》。此处介绍了负载均衡的详细信息。
Secure Firewall eXtensible 操作系统 (FXOS) 机箱上的 VPN 和集群
ASA FXOS 集群支持站点间 VPN 两个相互排斥的模式之一,即集中式或分布式:
-
集中式 VPN 模式。默认模式。在集中式模式下,仅与集群的控制设备建立 VPN 连接。
VPN 功能仅限控制设备使用,且不能利用集群的高可用性功能。如果控制设备发生故障,所有现有的 VPN 连接都将断开,通过 VPN 连接的用户将遇到服务中断。选择新的控制设备后,必须重新建立 VPN 连接。
将 VPN 隧道连接到跨接口地址时,连接会自动转移到控制设备。与 VPN 相关的密钥和证书将被复制到所有设备。
-
分布式 VPN 模式。在此模式下,站点间 IPsec IKEv2 VPN 连接将跨 ASA 集群成员分布,从而提供可扩展性。在集群成员之间分布 VPN 连接可实现充分利用集群的容量和吞吐量,将 VPN 支持大幅扩展至集中式 VPN 功能之外。
注 |
集中式 VPN 集群模式支持站点间 IKEv1 和站点间 IKEv2。 分布式 VPN 集群模式仅支持站点间 IKEv2。 仅在 Firepower 9300 上支持分布式 VPN 集群模式。 集中式和分布式集群模式均不支持远程访问 VPN。 |
VPN 负载均衡
VPN 负载均衡是在 VPN 负载均衡组中的设备之间合理分配远程访问 VPN 流量的机制。它基于简单的流量分配,而不考虑吞吐量或其他因素。VPN 负载均衡组由两台或更多设备组成。一台设备是导向器,而其他设备是成员设备。组设备不需要是完全相同的类型,也不需要具有相同的软件版本和配置。
VPN 负载均衡组中的所有主用设备都会承载会话负载。VPN 负载均衡可以将流量定向至组中负载最低的设备,在所有设备之间分配负载。这样可以高效地利用系统资源,提供更高的性能和高可用性。
故障转移
故障转移配置需要通过专用故障转移链路和状态故障转移链路(后者可选)相互连接的两台相同 ASA。主用接口和设备的运行状况会受到监控,以便确定满足特定故障转移条件的时刻。如果这些条件得到满足,则会进行故障转移。故障转移同时支持 VPN 和防火墙配置。
ASA 支持两种故障转移配置:主用/主用故障转移和主用/备用故障转移。
使用主用/主用故障转移时,两台设备都可以传送网络流量。这不是真正的负载均衡,尽管看似具有相同的效果。发生故障转移时,剩下的那台主用设备会根据配置的参数接管合并流量的传送。因此,配置主用/主用故障转移时,您必须确保两台设备的合并流量在每台设备的容量之内。
使用主用/备用故障转移时,只有一台设备会传送流量,而另一台设备会在备用状态下进行等待,不会传送流量。主用/备用故障转移允许使用第二台 ASA 来接管故障设备的功能。当主用设备发生故障时,它将变为备用状态,而备用设备会变为主用状态。变为活动状态的设备会采用发生故障的设备的 IP 地址(或者,对于透明防火墙,管理 IP 地址)和 MAC 地址,并开始传送流量。此时,处于备用状态的设备会接管主用设备的备用 IP 地址。如果主用设备发生故障,则由备用设备接管,而且不会给客户端 VPN 隧道带来任何干扰。