Informazioni sulla sincronizzazione della tabella MAC ad alta disponibilità ASA in modalità trasparente con i router HSRP
Sommario
Introduzione
In questo documento viene descritto il comportamento di una coppia di appliance ASA connesse a un cluster di router che utilizzano HSRP.
Prerequisiti
- ASA (Adaptive Security Appliance)
- ASA High Availability (HA).
- Protocollo HSRP (Hot Standby Router Protocol).
- Firewall in modalità trasparente.
Componenti usati
- 2 router CSR con HSRP.
- 2 L'ASA è configurata in HA che punta alla coppia HSRP.
Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.
Premesse
Per una coppia di appliance ASA configurata in modalità trasparente di alta disponibilità, se la coppia di firewall è connessa a monte a un cluster di router e i router adiacenti utilizzano l'HSRP, il traffico proveniente dai firewall viene destinato all'indirizzo IP del router che punta anche all'indirizzo MAC di un router specifico. Tuttavia, se il traffico di ritorno proviene dall'indirizzo MAC di un'altra interfaccia del router nella coppia HSRP, può causare un'interruzione della rete.
Il problema è che il timeout della tabella degli indirizzi MAC è di 5 min (300 secondi) e il timeout del protocollo ARP (Address Resolution Protocol) è di 14400 secondi per impostazione predefinita. Poiché il router dell'hop successivo utilizza l'HSRP, non vi è mai traffico proveniente dall'indirizzo MAC dell'HSRP. In questo caso, la voce mac-address-table sull'appliance ASA scade e il traffico non riesce.
Esempio di rete
Risoluzione dei problemi
Informazioni sulla sincronizzazione delle tabelle MAC per ASA HA in modalità trasparente con HSRP
Questi output mostrano come le unità ASA sincronizzano la tabella MAC quando l'unità attiva apprende le nuove voci ed elimina quelle precedenti.
L'unità attiva asav-1 perde l'indirizzo MAC 5254.0017.8a8c da uno dei router HSRP, in questo caso csr1000v-0.
ASAv-primary# show mac-address-table
interface mac address type Age(min) bridge-group
----------------------------------------------------------------------------------------------------
outside 5254.0017.8a8c dynamic 1 1
inside 5254.001f.dfa8 dynamic 1 1
outside 5254.0008.7242 dynamic 5 1
outside 0000.0c07.ac01 dynamic 5 1
È possibile vedere come 5254.0017.8a8c scompare dopo 5 minuti.
ASAv-primary# show mac-address-table
interface mac address type Age(min) bridge-group
----------------------------------------------------------------------------------------------------
outside 5254.0008.7242 dynamic 5 1
outside 0000.0c07.ac01 dynamic 5 1
L'unità di standby non perde la voce MAC 5254.0017.8a8c. Questo comportamento può causare confusione, tuttavia, è totalmente previsto.
L'unità di standby non aggiorna la tabella degli indirizzi MAC a meno che non diventi la nuova unità attiva.
L'unità di Standby conserva 5254.0017.8a8c dopo diverse ore e rimane sempre a un (1) minuto di età.
ASAv-secondary(config)# show mac-address-table
interface mac address type Age(min) bridge-group
----------------------------------------------------------------------------------------------------
outside 5254.0017.8a8c dynamic 1 1
outside 5254.0008.7242 dynamic 5 1
outside 0000.0c07.ac01 dynamic 5 1
È possibile attendere ore/giorni ed eseguire lo stesso comando per visualizzare lo stesso risultato.
ASAv-secondary(config)# show mac-address-table
interface mac address type Age(min) bridge-group
----------------------------------------------------------------------------------------------------
outside 5254.0017.8a8c dynamic 1 1
outside 5254.0008.7242 dynamic 5 1
outside 0000.0c07.ac01 dynamic 5 1
Inoltre, se si pubblica il show failover non sono presenti modifiche nel contatore Tbl L2BRIDGE quando l'unità attiva perde la voce HSRP.
Stateful Failover Logical Update Statistics
Link : failoverlink GigabitEthernet0/3 (up)
Stateful Obj xmit xerr rcv rerr
General 86751 0 77968 8
sys cmd 77854 0 77853 0
up time 0 0 0 0
RPC services 0 0 0 0
<--- More --->
TCP conn 0 0 0 0
UDP conn 8882 0 90 0
ARP tbl 4 0 1 0
L2BRIDGE Tbl 3 0 22 0
Xlate_Timeout 0 0 0 0
IPv6 ND tbl 0 0 0 0
SIP Session 0 0 0 0
SIP Tx 0 0 0 0
SIP Pinhole 0 0 0 0
Route Session 8 0 0 8
La voce della tabella degli indirizzi MAC scade a causa del routing asimmetrico
Quando il traffico passa direttamente tra due indirizzi MAC attraverso il firewall trasparente, questi indirizzi non perdono efficacia durante il flusso del traffico perché l'ASA riceve i frame originati dai due indirizzi MAC che inviano il traffico.
Quando il flusso del traffico è asimmetrico, la voce scade se l'ASA non riceve una risposta dall'indirizzo MAC specifico.
I sintomi di questo problema sono che dopo che l'ASA ha superato la scadenza dell'indirizzo MAC (dopo 5 minuti di assenza di traffico proveniente da quell'indirizzo MAC), il traffico destinato a quell'indirizzo MAC viene interrotto fino a quando la voce MAC non viene popolata di nuovo.
In genere, il problema si presenta quando si dimostra che la connettività a un server viene ristabilita dopo uno o due tentativi, e questo perché il primo pacchetto viene scartato in modo che l'ASA possa seguire la procedura per conoscere la posizione di un indirizzo MAC.
Soluzione suggerita
Per risolvere questo problema, aggiungere una tabella di indirizzi MAC statici per l'IP HSRP sul firewall o aumentare il tempo di validità a un valore tale che una risposta ARP provenga dal router HSRP corrispondente prima del timeout della voce.
La soluzione migliore è aggiungere una voce MAC statica perché non è sicuro che l'ASA riceva una risposta ARP dal router attivo HSRP.
Informazioni correlate
Cronologia delle revisioni
| Revisione | Data di pubblicazione | Commenti |
|---|---|---|
1.0 |
19-Aug-2022 |
Versione iniziale |
Feedback