عملية انتخاب مدير موازنة حمل ASA VPN

المقدمة

يصف هذا المستند عملية إختيار المدير في سيناريو موازنة حمل الشبكة الخاصة الظاهرية (VPN) باستخدام جهاز الأمان القابل للتكيف (ASA) من سلسلة Cisco 5500-X.

المتطلبات الأساسية

المتطلبات

لا توجد متطلبات خاصة لهذا المستند.

المكونات المستخدمة

أسست المعلومة في هذا وثيقة على ال cisco ASA 5500-X أن يركض برمجية صيغة 9.2.

ملاحظة: ينطبق هذا المستند أيضا على جميع إصدارات البرامج، نظرا لأنه تم إدخال الميزة لأول مرة في الإصدار 7.0(1).

تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك مباشرة، فتأكد من فهمك للتأثير المحتمل لأي أمر.

معلومات أساسية 

موازنة حمل VPN هي آلية يتم إستخدامها لتوزيع حركة مرور الشبكة بشكل منصف بين الأجهزة في مجموعة افتراضية. موازنة الأحمال تعتمد على التوزيع البسيط، ولا تأخذ في الاعتبار معدل الاستفادة من الخرج أو عوامل أخرى. تتألف مجموعة موازنة الأحمال من جهازين أو أكثر، ومدير وجهاز ثانوي واحد أو أكثر، ولا يجب تكوين هذه الأجهزة بشكل متماثل.

خوارزمية موازنة التحميل

فيما يلي نظرة عامة على خوارزمية موازنة التحميل:

• يحتفظ جهاز المدير بقائمة مفروزة من أعضاء نظام المجموعة الثانوي بترتيب تصاعدي لعناوين IP الداخلية.
  
  
• يتم حساب الحمل كنسبة عدد صحيح (عدد جلسات العمل النشطة/القصوى) التي يتم توفيرها بواسطة كل عضو نظام مجموعة ثانوي.
  
  
• يقوم جهاز الموجه بإعادة توجيه نفق VPN لطبقة مآخذ التوصيل الآمنة (SSL) من IPSec إلى جهاز به أقل حمل أولا، حتى يكون أعلى بنسبة واحد في المائة من الأجهزة الأخرى.
  
  
• يعيد جهاز المدير توجيهه إلى نفسه فقط عندما يكون جميع أعضاء نظام المجموعة الثانوية أعلى بنسبة واحد بالمائة من جهاز المدير.

وفيما يلي مثال على ذلك مع مدير واحد وعضوين من المجموعة الثانوية:

• تبدأ جميع العقد بتحميل نسبته صفر في المائة، ويتم تقريب جميع النسب المئوية إلى أقرب نصف في المائة.
  
  
• يأخذ جهاز المدير الاتصال إذا كان لدى جميع الأعضاء حمل أعلى من جهاز المدير بنسبة واحد في المائة.
  
  
• إذا لم يقم جهاز الإدارة بالتوصيل، يتم أخذ الجلسة من قبل جهاز النسخ الاحتياطي الذي يحتوي حاليا على أقل نسبة تحميل مئوية.
  
  
• إذا كان لكل الأعضاء نفس النسبة المئوية لحمل العمل، فسيتولى جهاز النسخ الاحتياطي الجلسة بأقل قدر من الجلسات.
  
  
• إذا كان لجميع الأعضاء نفس النسبة المئوية لحمل العمل وبنفس عدد جلسات العمل، فسيتولى جهاز النسخ الاحتياطي الجلسة بأقل قدر من عناوين IP.

عملية انتخاب مدير

يتم إجراء عملية إختيار مدير موازنة حمل الشبكة الخاصة الظاهرية (VPN) على شبكة نظام المجموعة الخارجية. هناك نوعان من البيانات المتبادلة على الشبكة الخارجية:

• يتم تبادل حزم بروتوكول تحليل العنوان (ARP) لعنوان IP لنظام المجموعة الذي يتم إستخدامه لاكتشاف الموجه. الحد الأقصى لعدد حزم ARP التي يتم إرسالها لعنوان IP لنظام المجموعة لاكتشاف المدير هو:
  
  (10 - الأولوية) + 1
  
  هنا، يتم تكوين الأولوية كما هو الحال في الأمر الفرعي priority من أمر واجهة سطر الأوامر (CLI) vpn load-balancing.
  
  
• يتم تبادل حزم UDP على الخارج لرسائل طلب/إستجابة Hello. يتم تحديد رقم المنفذ في الأمر الفرعي cluster port load-balanced وهو افتراضي إلى 9023.

على سبيل المثال، إذا كانت الأولوية هي خمسة لجهاز موازنة التحميل، فإنها تحاول إرسال ما يصل إلى ست حزم ARP لمعرفة ما إذا كان أي جهاز مدير يمتلك عنوان IP لنظام المجموعة. إذا تم اكتشاف جهاز مدير، فإن ASA لا يرسل أي مزيد من رسائل ARP وينتظر 15 ثانية قبل أن يرسل طلب UDP Hello. بعد ذلك يستجيب جهاز الموجه باستخدام إستجابة UDP Hello.

تحذير سيناريوهات إعادة التشغيل

في حالة إعادة التشغيل باستخدام وحدتي ASA في نظام مجموعة موازنة الأحمال:

• إما ASA-1 أو ASA-2 كان المدير قبل إعادة التشغيل.
  
  
• تم إعادة تمهيد ASA-1.
  
  
• يصبح ASA-2 المدير إن لم يكن هو المدير سابقا.
  
  
• ينضم ASA-1 ببساطة إلى المجموعة كعضو بعد إعادة التمهيد.

قد تتأثر خوارزمية موازنة الأحمال بتكوين المحول حيث يتم توصيل الواجهة الخارجية لأجهزة نظام المجموعة أيضا. على سبيل المثال، قد تتسبب خوارزمية الشجرة المتفرعة في تأخير الاتصال عند إعادة تمهيد الجهاز المتصل بالمحول.

تلميح: يساعد الأمر spanning-tree port fast على تسريع العملية.

في بعض الحالات، قد يحاول ASA الذي تمت إعادة تحميله حديثا والذي لديه موازنة حمل ممكنة أن يصبح جهاز الإدارة (حتى إذا كان جهاز المدير موجود بالفعل) لأنه لا يستطيع الوصول إلى جهاز المدير الحالي بسبب تأخر الاتصال في المحول. عندما يكون هناك تعارض موجه مكتشف كنتيجة لتصادم ARP، فإن ASA مع عنوان تحكم في الوصول إلى الوسائط (MAC) منخفض يفوز، بينما ال ASA مع عنوان MAC أعلى يستغني عن دور جهاز المدير.

عملية إعادة انتخاب المدير

هناك حالتين تتسببان في إعادة انتخاب جهاز الإدارة.

تمت إزالة جهاز Director من نظام المجموعة

عندما تقوم بتعطيل الميزة في ASA، يتم إرسال رسالة بث إلى جميع أعضاء نظام المجموعة لإعلام التغيير، ويتم إجراء عملية الانتخاب التي تم وصفها سابقا.

لا يستجيب جهاز Director إلى رسائل Hello الخاصة بعضو المجموعة

إذا لم يستجب جهاز الإدارة لرسالة "مرحبا" الخاصة بعضو نظام المجموعة، يستغرق الأمر عضو نظام مجموعة ASA حوالي 20 ثانية لاكتشاف أن المدير لم يعد موجودا. يتم إرسال رسائل Hello كل خمس ثوان (غير قابلة للتكوين). إذا لم يتلق أعضاء نظام المجموعة إستجابة من جهاز الإدارة بعد أربع رسائل "مرحبا"، فسيتم تشغيل العملية الانتخابية.

استكشاف الأخطاء وإصلاحها

ملاحظة: أحلت المعلومة مهم على Debug أمر cisco مادة قبل أن يستعمل أنت يضبط أمر.

يمكن أن تكون أوامر تصحيح الأخطاء هذه مفيدة مع محاولات أستكشاف أخطاء النظام وإصلاحها:

• debug fsm 255 - أستخدم هذا الأمر لتنشيط تصحيح أخطاء جهاز الحالة المحددة العامة. أدخل الأمر no debug all لإلغاء التنشيط.
  
  
• قائمة debug vpnlb 3 - أستخدم هذا الأمر لتنشيط تتبع أخطاء موازنة حمل VPN. دخلت ال debug قائمة vpnlb 3 أمر مرة أخرى in order to أعجزت.
  
  
• قائمة تصحيح الأخطاء VPNLB 4 - أستخدم هذا الأمر لتنشيط تتبع وظيفة موازنة حمل VPN. دخلت ال debug قائمة vpnlb 4 أمر مرة أخرى in order to أعجزت.

معلومات ذات صلة

• فهم موازنة التحميل
• الدعم التقني والمستندات - Cisco Systems