對ASA故障切換上的大腦分割問題進行故障排除

簡介

本文檔介紹如何解決思科自適應安全裝置故障切換或Firepower威脅防禦高可用性對中的大腦分割問題。 

必要條件

需求

Cisco建議您瞭解ASA/FTD高可用性對（故障切換）的工作原理 - 關於故障切換。

採用元件

本文檔不限於特定軟體或硬體版本，適用於故障切換中所有受支援的ASA/FTD部署。

本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除（預設）的組態來啟動。如果您的網路運作中，請確保您瞭解任何指令可能造成的影響。

慣例

如需文件慣例的詳細資訊，請參閱思科技術提示慣例。

什麼是Split-Brain？

Split-brain是一種場景，在該場景中，ASA/FTD HA的單元無法在網路上相互檢測，因此兩者都扮演了主動角色。這會導致兩個裝置具有相同的介面IP地址和MAC地址，並且可能導致網路中嚴重的不一致，從而導致服務丟失。

要辨識您的HA是否處於分割大腦中，請在兩個單元上運行命令show failover state，並檢查兩個框是否都處於活動狀態。

分裂大腦的示例

主要單位：

ciscoasa1/act/pri# show failover state

               State          Last Failure Reason      Date/Time
This host  -   Primary
               Active         None
Other host -   Secondary
               Failed         Comm Failure             02:39:43 UTC Jan 10 2022

====Configuration State===
        Sync Done - STANDBY
====Communication State==

輔助裝置：

ciscoasa2/act/sec# show failover state

               State          Last Failure Reason      Date/Time
This host  -   Secondary
               Active         None
Other host -   Primary
               Failed         Comm Failure             02:39:40 UTC Jan 10 2022

====Configuration State===
        Sync Done
        Sync Done - STANDBY
====Communication State==

如果所連線裝置上為活動IP地址獲取的MAC地址並非全部屬於同一單元，則分割大腦可能會導致中斷。例如，考慮網路拓撲：

實驗拓撲

VMAC已分配給介面，如下所示。執行該操作可使mac address-table易於理解：

Inside (G0/2)    : Active MAC    - 00c1.1000.aaaa 
                          Standby MAC - 00c1.1000.bbbb

Outside (G0/4) : Active MAC    - 00c1.2000.aaaa

                          Standby MAC - 00c1.2000.bbbb

注意：如果未配置VMAC，則主用裝置始終採用主裝置介面的MAC，備用裝置始終採用輔助MAC。

當HA正常時，交換機上的MAC地址表：

Switch#show mac address-table

 Mac Address Table
-------------------------------------------
Vlan   Mac Address      Type        Ports
----   -----------      --------    -----
100    00c1.1000.aaaa   DYNAMIC     Gi1/0/5
100    00c1.1000.bbbb   DYNAMIC     Gi1/0/1
300    00c1.64bc.c508   DYNAMIC     Gi1/0/4
300    00d7.8f38.8424   DYNAMIC     Gi1/0/8
200    00c1.2000.aaaa   DYNAMIC     Gi1/0/7
200    00c1.2000.bbbb   DYNAMIC     Gi1/0/3

如果故障轉移鏈路發生故障，主用裝置將保持主用狀態，備用裝置將保持備用。當裝置在故障切換鏈路上未收到三個連續的HELLO消息時，裝置會在每個資料介面（包括故障切換鏈路）上傳送LANTEST消息，以驗證對等裝置是否響應。ASA採取的操作取決於來自其他裝置的響應。

可能的動作有：

• 如果ASA在故障切換鏈路上收到響應，則它不進行故障切換。
• 如果ASA在故障切換鏈路上未收到響應，但在資料介面上收到響應，則單元不進行故障切換。容錯移轉連結已標示為失敗。您可以儘快恢復故障切換鏈路，因為在故障切換鏈路關閉時，裝置無法故障切換至備用。
• 如果ASA在任何介面上都未收到響應，則備用裝置將切換到活動模式並將其他裝置分類為故障。這導致了大腦分裂的情形。
  
  

在此階段，兩個防火牆上的所有資料介面都充當活動單元。因此，主用和備用防火牆上的介面使用相同的IP和MAC地址。由於有毒arp條目，這會導致MAC地址表不一致，從而可能導致中斷。

注意：故障切換鏈路負責故障切換對之間的此資料通訊：裝置狀態（活動/備用）、Hello消息、網路鏈路狀態、MAC地址交換、配置複製和同步。

如何主動防範故障切換問題

為應對大腦分裂狀態做好準備：

• 採用思科推薦的金牌版本-在某些情況下，由於記憶體洩露等問題也會導致大腦分裂。思科推薦的版本可顯著降低您面臨此類情況的風險。
• 網路拓撲-建議資料介面和故障切換鏈路使用不同的路徑，以減少所有介面同時發生故障的可能性。
• 使用連線埠通道介面作為容錯移轉介面-如果您的防火牆上有未使用的介面，請配對這些介面以形成連線埠通道，並將其用作容錯移轉連結，這樣會增加連結的可靠性並移除「單一故障點(SPOF)」。
• 確保故障切換介面沒有太多延遲-根據《ASA配置指南》「為在使用長途故障切換時獲得最佳效能，狀態鏈路的延遲可以小於10毫秒且不大於250毫秒。如果延遲超過10毫秒，則會由於重新傳輸故障切換消息而導致某些效能下降。」
• 根據您的部署調整Poll Timer/Hold Timer值-故障切換計時器沒有一刀切的方法。一般來說，當計時器調低時，可能會導致不必要的故障切換（特別是在存在一些延遲時），而過高的值會導致發生故障切換的時間增加。這會導致明顯的故障切換。保持計時器值必須是5x輪詢計時器值。
• 為介面配置虛擬MAC地址-在「輔助裝置啟動時未檢測到主裝置，則輔助裝置會成為活動裝置並使用自己的MAC地址，因為它不知道主裝置的MAC地址」的情況下。當主裝置可用時，輔助（活動）裝置會將MAC地址更改為主裝置的MAC地址，這可能會導致網路流量中斷。同樣，如果您用新硬體替換主裝置，則會使用新的MAC地址。」

  虛擬MAC地址可防止此中斷，因為主用MAC地址在啟動時為輔助裝置所知，並且在新主裝置硬體的情況下保持不變。如果不配置虛擬MAC地址，則需要清除已連線路由器上的ARP表以恢復流量」。有關詳細資訊，請參閱故障切換中的MAC地址和IP地址。

• 將兩台裝置的ASA/FTD日誌傳送到外部系統日誌伺服器-此步驟更適用於問題的適用性。
  
  

腦部分裂的可能原因

如前所述，當故障切換鏈路介面之間的通訊斷開（單向或雙向）時，就會發生大腦分離。最常見的原因是：

• L1問題-電纜/SFP/介面故障
• 中間裝置上的問題
• ASA/FTD上記憶體或CPU資源不足

  注意：ASA/Lina引擎使用1550位元組記憶體塊儲存資料包進行處理。如果此大小的可用塊數量耗盡ASA/FTD，則itl無法再處理故障切換資料包。運行show blocks以檢查塊耗盡。

故障排除過程-流程圖

為了對分離大腦方案進行故障排除和解決，請使用以下流程圖(從標籤為Main的框開始)。有些問題在這裡是無法解決的。在這些情況下，會提供Cisco技術支援的連結。若要提出服務要求，您必須擁有有效的服務合約。

注意：在FTD部署中，請依照系統支援diagnostics-cli中的步驟進行。

疑難排解流程圖

從腦裂傷中緊急恢復

要從拆分大腦恢復網路，您需要確保流量僅到達兩個防火牆之一；也就是說，為活動IP獲取的MAC地址都指向一個單元。為此，您可以在裝置上停用故障轉移，或者將其完全切斷網路。

1. 在不傳遞流量的裝置上停用故障轉移：
   • 在ASA平台上，透過CLI導航到配置終端，然後輸入no failover命令。
   • 在FTD平台上，於清除模式下輸入configure high-availability suspend命令。
2. 對於ASA，關閉資料介面。若是FTD，請關閉連線裝置上的介面。或者，您也可以斷開介面的物理連線。此外，您可以關閉裝置的電源，但這會限制您管理裝置。請參閱裝置配置指南瞭解執行此操作的步驟。

注意：如果即使在執行上述步驟後也發現連線問題，則連線的裝置ARP條目可能過時。檢查上游和下游裝置上的arp條目。要解決此問題，您可以刷新這些資料包，或強制正在運行的ASA/FTD向存在問題的介面IP傳送garp資料包。為此，請在啟用模式下運行命令（對於支援診斷-cli的系統中的FTD） - debug menu ipaddrutl 6 <interface ip address>。

警告：如果您向TAC提交有關大腦分裂問題的支援票證，請共用在本文檔的為TAC服務請求收集的資料部分所提及的資訊。

要與TAC共用的資料

如果需要打開TAC服務請求，請共用提及的資料。

1. 顯示ASA/FTD-HA及其與相鄰裝置（包括故障切換介面）的物理連線的拓撲圖。
2. ASA上的show tech-support或運行FTD的平台上的故障排除檔案的輸出。
3. 系統日誌以及問題發生時的時間戳記+/- 5分鐘。
4. FXOS疑難排解檔案（若硬體為FPR裝置）。

要生成FTD或FXOS的故障排除檔案，請參閱Firepower故障排除檔案生成過程。 打開TAC SR。