本文描述在一个VPN负载平衡方案的偅要的选择进程用Cisco 5500-X系列可适应安全工具(ASA)

本文档没有任何特定的要求。

注意：因为功能在版本7.0(1)首先介绍本文也适用于所有软件版本。

本攵档中的信息都是基于特定实验室环境中的设备编写的本文档中使用的所有设备最初均采用原始（默认）配置。如果您使用的是真实网絡请确保您已经了解所有命令的潜在影响。

VPN负载均衡是使用为了公平地分发在设备中的网络流量在虚拟群集的机制负载均衡根据简单汾配;它不采取认为吞吐量利用率或其他要素。负载平衡集群包括两个或多个设备、主控和一个或更多辅助设备并且这些设备不必须相等哋配置。

这是负载均衡算法的概述：

• 重要的设备维护附属集群成员排序的列表升序按内部的IP地址的顺序
• 负载被计算作为每个附属集群成員供应的整数百分比(活动/最大会话编号)。
• 重要的设备首先重定向IPSec/安全套接字协议层(SSL) VPN通道到有最低的负载的一个设备直到它高于其它设备昰一百分比。
• 对本身的重要的设备重定向只有当所有附属集群成员高于重要的设备是一百分比。

这是一示例用一主控和两个附属集群成員：

• 所有节点开始与零百分比负载并且所有百分比被舍入对最近的半百分比。
• 重要的设备采取连接如果所有成员有高于重要的设备是┅的百分比的一负载。
• 如果重要的设备不采取连接会话由当前有最小的负载百分比的备份设备采取。
• 如果所有成员有同一负载百分比則有最少量的会话的备份设备采取会话。
• 如果所有成员有同一负载百分比和会话同一数量则备份设备用最少量的IP地址采取会话。

VPN负载均衡重要的选择进程在集群外部网络进行 有在外部网络交换的数据的两种类型：

• 使用重要的发现集群IP地址的地址解析服务(ARP)数据包被交换。為集群IP地址被发送为了发现主控ARP数据包的最大是：

  (10 -与和活的优先级级) + 1 这里与和活的优先级级配置正如在CLI命令VPN的负载平衡的与和活的优先級级子命令。

• 在外部的UDP数据包Hello请求/响应消息的被交换端口号在集群端口负载平衡子命令指定并且是默认对9023。

为例如果与和活的优先级級是五负载均衡设备的，它尝试发送六ARP数据包为了发现任何重要的设备是否拥有集群IP地址如果一个重要的设备检测， ASA不发送ARP消息和等待15秒在发送UDP Hello请求前。重要的设备然后回应UDP Hello答复

在与两ASA的一个重新启动情况下在负载平衡集群：

• ASA-1或ASA-2是主控在重新启动前。
• 如果它以前不昰主控ASA-2变为主控。
• ASA-1参加集群作为从在重新启动以后

负载均衡算法也许受集群设备外部接口也连接交换机的配置的影响。例如生成树算法也许导致连通性延迟，当连接到交换机时的设备重新启动

提示：命令帮助加速进程。

有时最近重新启动的ASA有启用的负载均衡也许尝試变为重要的设备(即使一个重要的设备已经存在)，因为不能到达当前重要的设备由于在交换机的连通性延迟当有由于ARP冲突时检测的精通沖突，与低MAC控制(MAC)地址的ASA赢取而与更高的MAC地址的ASA放弃重要的设备角色。

有导致重要的设备的改选的两个情况

从团星删除的重要的设备

当您禁用在ASA时的功能，广播消息传送对所有集群成员为了通知更改并且以前描述的进行。

重要的设备不回应对集群成员Hello消息

如果重要的设備不回应对集群成员Hello消息需要ASA集群成员大约20秒检测主控不再存在。Hello消息被发送每五秒(不可配置)如果集群成员不在四个Hello消息以后收到从偅要的设备的答复，则选择进程被触发

注意：在您使用调试指令前，参考条款的

这些调试指令可以是有用的与尝试排除故障与您的system:的問题

• 调试fsm 255 -请使用此命令为了激活常用有限状态机调试。输入no debug all命令为了撤销
• 调试菜单vpnlb 3 -请使用此命令为了激活VPN负载均衡debug trace。输入调试菜单vpnlb 3命令為了再次撤销
• 调试菜单vpnlb 4 -请使用此命令为了激活VPN负载均衡功能trace。输入调试菜单vpnlb 4命令为了再次撤销

【摘要】：在区分服务体系中与囷活的优先级级队列WFQ的节点调度策略约束下,兼顾负载均衡需求,提出了QoS路由度量标准DCB以及路由算法DCBR仿真试验结果表明,该算法在实现最短时延的同时,提高了网络吞吐能力,并在时延抖动性能上得到了优化。