dwndoc

User Tools

Site Tools

Trace: asa-cluster
reseau:asa-cluster

Table of Contents

ASA: Configuration en cluster

inlinetoc

Chaque ASA a besoin de quelques paramètres avant de rejoindre le cluster. Il s'agit de la configuration Bootstrap.

Sur chaque appareil, il faut configurer une configuration d'amorçage minimale (Bootstrap Configuration) comprenant le nom du cluster, l'interface de liaison de contrôle du cluster et d'autres paramètres du cluster. La première unité sur laquelle on active le clustering devient généralement l'unité principale. Lorsque'on active la mise en cluster sur les unités suivantes, elles rejoignent le cluster en tant qu'esclaves.

La configuration de bootstrap doit être effectuée via une connexion console.

Le Cluster Control Link (CCL) est le «back-plane» entre les unités membres ASA. Le CCL est différent et distinct des interfaces de données (DATA). Le CCL transporte les messages de contrôle entre les membres, ainsi que le trafic de données. Le CCL est un composant obligatoire du cluster.

Conditions de licence

Le tableau suivant présente les conditions de licence pour cette fonctionnalité:

Modèle Exigence de licence
ASA 5580, ASA 5585-X Licence de cluster, prend en charge jusqu'à 8 unités.

Une licence de cluster est requise sur chaque unité. Pour les autres licences de fonctionnalités, les unités de cluster ne nécessitent pas la même licence sur chaque unité. Si vous disposez de licences de fonctionnalités sur plusieurs unités, elles se combinent en une seule licence de cluster ASA en cours d'exécution.

Chaque unité doit avoir la même licence de cryptage et la même licence 10 GE I/O.
ASA 5512-X1 Licence Security Plus, prend en charge 2 unités.

Chaque unité doit avoir la même licence de cryptage.
ASA 5515-X, ASA 5525-X, ASA 5545-X, ASA 5555-X 1 Licence de base, prend en charge 2 unités.

Chaque unité doit avoir la même licence de cryptage.
Tous les autres modèles Pas de support

Configuration de bootstrap ASA avec deux interfaces

Source: ASA Cluster - Cisco

image/svg+xml ADMN // RIGHT LED // LEFT LED CONS // RIGHT LED // LEFT LED 0/3 // RIGHT LED // LEFT LED 0/2 // RIGHT LED // LEFT LED 0/1 // RIGHT LED // LEFT LED 0/0 // RIGHT LED // LEFT LED AUX // RIGHT LED // LEFT LED
ASA Interface Rôle
GigabitEthernet 0/0 @#C0FF61:CCL
GigabitEthernet 0/1 @#C0FF61:CCL
GigabitEthernet 0/2 @#FFDA61:DATA
GigabitEthernet 0/3 @#FFDA61:DATA

ASA1 Master Bootstrap Configuration

cluster interface-mode spanned force

interface GigabitEthernet0/0
channel-group 1 mode on
no shutdown

interface GigabitEthernet0/1
channel-group 1 mode on
no shutdown

interface Port-channel1
description Clustering Interface

cluster group Moya
local-unit A
cluster-interface Port-channel1 ip 10.0.0.1 255.255.255.0
priority 10
key emphyri0
enable noconfirm

ASA2 Slave Bootstrap Configuration

cluster interface-mode spanned force

interface GigabitEthernet0/0
channel-group 1 mode on
no shutdown

interface GigabitEthernet0/1
channel-group 1 mode on
no shutdown

interface Port-channel1
description Clustering Interface

cluster group Moya
local-unit B
cluster-interface Port-channel1 ip 10.0.0.2 255.255.255.0
priority 11
key emphyri0
enable as-slave

Master Interface Configuration

Une fois la configuration de Bootstrap terminée, la configuration se produit sur le membre principal

Le mot clé span-cluster indique que cette interface est en mode spanned-etherchannel. 

ip local pool mgmt-pool 10.53.195.231-10.53.195.232
 
interface GigabitEthernet0/2
channel-group 10 mode active
no shutdown

interface GigabitEthernet0/3
channel-group 10 mode active
no shutdown

interface Management0/0
management-only
nameif management
ip address 10.53.195.230 cluster-pool mgmt-pool
security-level 100
no shutdown

interface Port-channel10
port-channel span-cluster
mac-address aaaa.bbbb.cccc
nameif inside
security-level 100
ip address 209.165.200.225 255.255.255.224

interface Port-channel11
port-channel span-cluster
mac-address aaaa.dddd.cccc
nameif outside
security-level 0
ip address 209.165.201.1 255.255.255.224

Configuration de bootstrap ASA avec quatre interfaces

source: ASA Cluster Configuration - Network Direction

image/svg+xml ADMN // RIGHT LED // LEFT LED CONS // RIGHT LED // LEFT LED 1/3 // RIGHT LED // LEFT LED 1/2 // RIGHT LED // LEFT LED 1/1 // RIGHT LED // LEFT LED 1/0 // RIGHT LED // LEFT LED 0/3 // RIGHT LED // LEFT LED 0/2 // RIGHT LED // LEFT LED 0/1 // RIGHT LED // LEFT LED 0/0 // RIGHT LED // LEFT LED AUX // RIGHT LED // LEFT LED
ASA Interface Rôle
GigabitEthernet 0/0 @#FFDA61:CCL
GigabitEthernet 0/1 @#FFDA61:CCL
GigabitEthernet 0/2 @#FFDA61:CCL
GigabitEthernet 0/3 @#FFDA61:CCL
GigabitEthernet 1/0 @#C0FF61:DATA
GigabitEthernet 1/1 @#C0FF61:DATA
GigabitEthernet 1/2 @#C0FF61:DATA
GigabitEthernet 1/3 @#C0FF61:DATA

Interfaces de gestion

La première étape consiste à créer un pool d'adresses IP pour l'interface de gestion. Deux ASA signifie qu'il doit y avoir deux adresses IP dans le pool. Le pool est attribué lors de la configuration de l'interface de gestion.

L'interface de gestion utilise une autre adresse IP, ainsi que le pool. Il s'agit de l'IP du cluster et est défini de la même manière sur chaque membre. 

ip local pool mgmt 10.10.10.104-10.10.10.105 mask 255.255.255.0

interface management 0/0
nameif management
ip address 10.10.10.103 255.255.255.0 cluster-pool mgmt
security-level 100
no shutdown

Lien de contrôle de cluster (CCL)

Le Cluster Control Link (CCL) est le «back-plane» entre les unités membres ASA. Le CCL est différent et distinct des interfaces de données (DATA). Le CCL transporte les messages de contrôle entre les membres, ainsi que le trafic de données. Le CCL est un composant obligatoire du cluster.

Le lien de contrôle de cluster est un EtherChannel 1) Il s'agit d'un canal de port unique sur chaque ASA, se connectant aux commutateurs. L'EtherChannel n'a pas de nom et ne peut pas être une interface de gestion.

La documentation dit de configurer le canal de port avec le mode activé. Le Cisco Live BRKSEC-3032, d'autre part, recommande d'utiliser le mode actif. 

interface gigabitEthernet 0/0
description CCL
channel-group 1 mode active
no shutdown

interface gigabitEthernet 0/1
description CCL
channel-group 1 mode active
no shutdown

interface gigabitEthernet 0/2
description CCL
channel-group 1 mode active
no shutdown

interface gigabitEthernet 0/3
description CCL
channel-group 1 mode active
no shutdown

interface port-channel 1
description CCL
no shutdown

Configuration du cluster

La configuration ci-dessous montre un groupe de clusters avec le nom DeuxNodesCluster. Chaque nœud a un nom d'unité locale. Ceci est utile lors de la recherche dans les journaux système et lors de l'envoi de commandes à un membre spécifique.

La commande cluster-interface sélectionne le lien de contrôle du cluster et définit une adresse IP.

Comme ASA-1 a la meilleure priorité, il devrait gagner toutes les élections et devenir primaire. EN réalité cependant, le premier ASA du cluster deviendra le principal. Il continuera à conserver le rôle jusqu'à ce qu'un échec ou qu'un nouveau principal soit sélectionné manuellement.

Activer le cluster. L'ASA avertit de la configuration incompatible et la supprime. N'oubliez pas de définir le MTU 

cluster group DeuxNodesCluster
local-unit ASA-1
cluster-interface Port-channel1 ip 10.0.0.1 255.255.255.0
priority 10
key Cisco1234
enable
mtu cluster 9000

cluster group DeuxNodesCluster
local-unit ASA-2
cluster-interface Port-channel1 ip 10.0.0.2 255.255.255.0
priority 11
key emphyri0
enable as-slave
mtu cluster 9000
1)
EtherChannel (IEEE 802.3ad) est une technologie d’agrégation de liens qui permet d’assembler plusieurs liens physiques Ethernet identiques en un seul lien logique. On l’appelle aussi bonding, LAG, etherchannel, ou encore portchannel. Le but est d’augmenter la vitesse et la tolérance aux pannes entre les commutateurs, les routeurs et les serveurs. Elle permet de simplifier une topologie Spanning-Tree en diminuant le nombre de liens.
reseau/asa-cluster.txt · Last modified: 2025/01/27 15:17 by 127.0.0.1