Cisco ASA Clustering 配置案例

Cisco ASA Clustering 有两种模式:individual 和 spanned。individual 表示 cluster 中的每台 ASA 的每个接口都有一个独立的 IP 地址,spanned 表示整个 cluster 只有 Master Unit 才有 IP 地址,所有的接口以 EtherChannel 的形式存在。唯一的例外是 management-only 接口,我们可以在 spanned mode 下为 cluster 中的每台 ASA 配置一个独立的 IP 地址,这样方便管理。Cisco 推荐的模式为 spanned mode + individual MGMT IP。关于 clustering 理论的部分可以参考 《Cisco ASA Series CLI Configuration Guide, 9.0 – Chapter: Configuring a Cluster of ASAs》

测试平台:Cisco Adaptive Security Appliance Software Version 9.1(5)16

先将所有交换机的 IP 配置好,SW4 和 SW5 的 e0/0-2 配置 port-channel

SW4(config)#int range e0/0-2
SW4(config-if-range)#no sh
SW4(config-if-range)#channel-group 1 mode active

首先查看一下 ASA 是否有配置 clustering 需要的 license

ciscoasa# show ver | i Cluster
Cluster                           : Enabled        364 days

配置 Master Unit 的 clustering 模式

ciscoasa(config)# cluster interface-mode spanned force

配置 Master Unit 的 MGMT 接口 (individual management-only interface)

ciscoasa(config)# ip local pool MGMT_POOL 192.168.1.2-192.168.1.10

ciscoasa(config)# int e3
ciscoasa(config-if)# management-only
ciscoasa(config-if)# nameif MGMT
ciscoasa(config-if)# security-level 100
ciscoasa(config-if)# ip add 192.168.1.1 255.255.255.0 cluster-pool MGMT_POOL
ciscoasa(config-if)# no sh

这里需要注意我们配置的 pool 不要包含 Master Unit 的 MGMT IP 地址,pool 可以适当的配置大一点以备今后网络扩容的需要。192.168.1.1 会始终跟着 Master Unit 走,所有的 ASA 会从 MGMT_POOL 里面各自获得一个 MGMT IP,所以 Master Unit 将会有两个 MGMT IP。

配置 Master Unit spanned mode 下的 EtherChannel

ciscoasa(config)# int e0
ciscoasa(config-if)# channel-group 1 mode active

ciscoasa(config-if)# int po1
ciscoasa(config-if)# port-channel span-cluster
ciscoasa(config-if)# nameif INSIDE
ciscoasa(config-if)# ip add 10.1.1.1 255.255.255.0
ciscoasa(config-if)# mac-address 0001.0001.000A
ciscoasa(config-if)# no sh

ciscoasa(config)# int e1
ciscoasa(config-if)# channel-group 2 mode active

ASA(config-if)# int po2
ASA(config-if)# port-channel span-cluster
ASA(config-if)# nameif OUTSIDE
ASA(config-if)# ip address 100.1.1.1 255.255.255.0
ASA(config-if)# mac-add 0002.0002.000B
ASA(config-if)# no sh

Spanned EtherChannel 只支持 active 模式,MAC 地址一定要手动配置,这样当 cluster 中的 Master Unit 死掉被移除 cluster 的时候 MAC 地址还可以保留不变。

配置 Master Unit 的 Cluster Control Link Interface (CCL)

ciscoasa(config)# int e2
ciscoasa(config-if)# no sh

这里只用开启 CCL 接口,其余配置会在 Bootstrap 中完成

配置 Master Unit 的 Bootstrap 并开启 cluster

ciscoasa(config)# cluster group GROUP_1
ciscoasa(cfg-cluster)# local-unit Unit-1
ciscoasa(cfg-cluster)# cluster-interface e2 ip 172.16.1.1 255.255.255.0
ciscoasa(cfg-cluster)# priority 1
ciscoasa(cfg-cluster)# key CISCO
ciscoasa(cfg-cluster)# enable noconfirm

验证状态

ciscoasa(config)# show cluster info
Cluster GROUP_1: On
    Interface mode: spanned
    This is "Unit-1" in state MASTER
        ID        : 0
        Version   : 9.1(5)16
        Serial No.: JMX1203L0NN
        CCL IP    : 172.16.1.1
        CCL MAC   : 5000.0001.0002
        Last join : 22:40:19 UTC Dec 31 2017
        Last leave: N/A
Other members in the cluster:
    There is no other unit in the cluster

配置第一台 Slave Unit 的 CCL 并加入 cluster

ciscoasa(config)# cluster interface-mode spanned

ciscoasa(config)# int e2
ciscoasa(config-if)# no sh

ciscoasa(config)# cluster group GROUP_1
ciscoasa(cfg-cluster)# local-unit Unit-2
ciscoasa(cfg-cluster)# cluster-interface e2 ip 172.16.1.2 255.255.255.0
ciscoasa(cfg-cluster)# priority 2
ciscoasa(cfg-cluster)# key CISCO
ciscoasa(cfg-cluster)# enable as-slave noconfirm

配置第二台 Slave Unit 的 CCL 并加入 cluster

ciscoasa(config)# int e2
ciscoasa(config-if)# no sh

ciscoasa(config)# cluster interface-mode spanned

ciscoasa(config)# cluster group GROUP_1
ciscoasa(cfg-cluster)# local-unit Unit-3
ciscoasa(cfg-cluster)# cluster-interface e2 ip 172.16.1.3 255.255.255.0
ciscoasa(cfg-cluster)# priority 3
ciscoasa(cfg-cluster)# key CISCO
ciscoasa(cfg-cluster)# enable as-slave noconfirm

在 Master Unit 上我们把 hostname 改成 ASA-Cluster,所有 Slave Unit 的配置都会自动同步。接下来验证 cluster 的状态

ASA-Cluster# show cluster info
Cluster GROUP_1: On
    Interface mode: spanned
    This is "Unit-1" in state MASTER
        ID        : 0
        Version   : 9.1(5)16
        Serial No.: JMX1203L0NN
        CCL IP    : 172.16.1.1
        CCL MAC   : 5000.0001.0002
        Last join : 22:07:20 UTC Dec 31 2017
        Last leave: N/A
Other members in the cluster:
    Unit "Unit-2" in state SLAVE
        ID        : 1
        Version   : 9.1(5)16
        Serial No.: JMX1203L0NN
        CCL IP    : 172.16.1.2
        CCL MAC   : 5000.0002.0002
        Last join : 22:09:02 UTC Dec 31 2017
        Last leave: N/A
    Unit "Unit-3" in state SLAVE_BULK_SYNC
        ID        : 2
        Version   : 9.1(5)16
        Serial No.: JMX1203L0NN
        CCL IP    : 172.16.1.3
        CCL MAC   : 5000.0003.0002
        Last join : 22:10:38 UTC Dec 31 2017
        Last leave: N/A
ASA-Cluster#

我们可以在 Master Unit 上配置 icmp inspection 然后利用 SW4 ping SW5 来测试连通性,同时可以利用 cluster master unit来手动的 failover

发表评论

您的电子邮箱地址不会被公开。