تكوين ECMP باستخدام IP SLA على FTD المدارة بواسطة FMC

خيارات التنزيل

  • PDF     (1.2 MB)
    عرض باستخدام Adobe Reader على مجموعة متنوعة من الأجهزة
تم التحديث:١٦ فبراير ٢٠٢٤
معرّف المستند:221692

لغة خالية من التحيز

تسعى مجموعة الوثائق لهذا المنتج جاهدة لاستخدام لغة خالية من التحيز. لأغراض مجموعة الوثائق هذه، يتم تعريف "خالية من التحيز" على أنها لغة لا تعني التمييز على أساس العمر، والإعاقة، والجنس، والهوية العرقية، والهوية الإثنية، والتوجه الجنسي، والحالة الاجتماعية والاقتصادية، والتمييز متعدد الجوانب. قد تكون الاستثناءات موجودة في الوثائق بسبب اللغة التي يتم تشفيرها بشكل ثابت في واجهات المستخدم الخاصة ببرنامج المنتج، أو اللغة المستخدمة بناءً على وثائق RFP، أو اللغة التي يستخدمها منتج الجهة الخارجية المُشار إليه. تعرّف على المزيد حول كيفية استخدام Cisco للغة الشاملة.

حول هذه الترجمة

ترجمت Cisco هذا المستند باستخدام مجموعة من التقنيات الآلية والبشرية لتقديم محتوى دعم للمستخدمين في جميع أنحاء العالم بلغتهم الخاصة. يُرجى ملاحظة أن أفضل ترجمة آلية لن تكون دقيقة كما هو الحال مع الترجمة الاحترافية التي يقدمها مترجم محترف. تخلي Cisco Systems مسئوليتها عن دقة هذه الترجمات وتُوصي بالرجوع دائمًا إلى المستند الإنجليزي الأصلي (الرابط متوفر).

    المقدمة

    يوضح هذا المستند كيفية تكوين ECMP مع IP SLA على FTD تتم إدارته بواسطة FMC.

    المتطلبات الأساسية

    المتطلبات

    توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:

    • تكوين ECMP على الدفاع الآمن عن تهديد جدار الحماية (FTD) من Cisco
    • تكوين IP SLA على الدفاع الآمن عن تهديد جدار الحماية (FTD) من Cisco
    • مركز إدارة جدار الحماية الآمن (FMC) من Cisco

    المكونات المستخدمة

    أسست المعلومة في هذا وثيقة على هذا برمجية وجهاز صيغة:

    • Cisco FTD، الإصدار 7.4.1

    • Cisco FMC، الإصدار 7.4.1

    تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.

    معلومات أساسية

    يوضح هذا المستند كيفية تكوين مسار متعدد المسارات (ECMP) متساو التكلفة مع إتفاقية مستوى خدمة بروتوكول الإنترنت (IP SLA) على Cisco FTD التي تتم إدارتها بواسطة Cisco FMC. يسمح لك بروتوكول ECMP بتجميع الواجهات معا على بروتوكول FTD وتوازن أحمال حركة مرور البيانات عبر الواجهات المتعددة. IP SLA هي آلية تراقب الاتصال الطرفي من خلال تبادل الحزم العادية. بجانب ECMP، يمكن تنفيذ IP SLA لضمان توفر الخطوة التالية. في هذا المثال، يتم إستخدام ECMP لتوزيع الحزم بشكل متساو على دائرتين لمزود خدمة الإنترنت (ISP). وفي الوقت نفسه، تقوم إتفاقية مستوى الخدمة لبروتوكول الإنترنت (IP) بتعقب الاتصال، مما يضمن الانتقال بسلاسة إلى أي دوائر متوفرة في حالة حدوث عطل.

    تتضمن المتطلبات الخاصة لهذا المستند:

    • الوصول إلى الأجهزة باستخدام حساب مستخدم بامتيازات المسؤول
    • Cisco Secure Firewall Threat Defense، الإصدار 7.1 أو إصدار أعلى
    • Cisco Secure Firewall Management Center، الإصدار 7.1 أو إصدار أعلى

    التكوين

    الرسم التخطيطي للشبكة

    في هذا المثال، يحتوي برنامج FTD من Cisco على واجهتين خارجيتين: خارج1 وخارج2 . يتصل كل واحد منها ببوابة ISP، خارج1 وخارج 2 ينتمي إلى منطقة ECMP نفسها المسماة خارج.

    يتم توجيه حركة المرور من الشبكة الداخلية من خلال بروتوكول FTD والحصول على موازنة الأحمال إلى الإنترنت من خلال مزودي خدمة الإنترنت (ISP).

    في الوقت نفسه، يستخدم FTD إتفاقيات مستوى خدمة IP لمراقبة الاتصال بكل بوابة ISP. في حال تعطل أي من دوائر ISP، يتم تجاوز فشل FTD إلى بوابة ISP الأخرى للحفاظ على إستمرارية الأعمال.

    الرسم التخطيطي للشبكةالرسم التخطيطي للشبكة

    التكوينات

    الخطوة 0. التكوين المسبق للواجهات/كائنات الشبكة

    قم بتسجيل الدخول إلى واجهة المستخدم الرسومية (GUI) الخاصة بالويب ل FMC، وحدد الأجهزة>إدارة الأجهزة وانقر فوق زر تحرير لجهاز الدفاع عن التهديد الخاص بك. يتم تحديد صفحة الواجهات بشكل افتراضي. طقطقة يحرر زر للقارن أنت تريد أن يحرر، في هذا مثال GigabitEthernet0/0.

    تحرير الواجهة gi0/0تحرير الواجهة gi0/0

    في نافذة تحرير الواجهة الفعلية، أسفل علامة التبويب عام:

    1. ثبتت الإسم، في هذه الحالة خارج 1.
    2. قم بتمكين الواجهة من خلال تحديد خانة الاختيار تمكين.
    3. في القائمة المنسدلة منطقة الأمان"، حدد منطقة أمان موجودة أو قم بإنشاء منطقة أمان جديدة، في هذا المثال خارج1_Zone.

    واجهة gi0/0 عامةواجهة gi0/0 عامة

    تحت علامة التبويب IPv4:

    1. أختر أحد الخيارات من القائمة المنسدلة نوع IP، في هذا المثال إستخدام IP الثابت.
    2. ثبتت العنوان، في هذا مثال 10.1.1.1/24.
    3. وانقر فوق OK.

    واجهة Gi0/0 IPv4واجهة Gi0/0 IPv4

    كرر خطوة مماثلة لتكوين الواجهة GigabitEthernet0/1، في نافذة Edit Physical Interface، ضمن علامة التبويب General:

    1. ثبتت الإسم، في هذه الحالة خارج 2.
    2. قم بتمكين الواجهة من خلال تحديد خانة الاختيار تمكين.
    3. في القائمة المنسدلة منطقة الأمان، حدد منطقة أمان موجودة أو قم بإنشاء منطقة أمان جديدة في هذا المثال خارج2_Zone.

    واجهة gi0/1 عامةواجهة gi0/1 عامة

    تحت علامة التبويب IPv4:

    1. أختر أحد الخيارات من القائمة المنسدلة نوع IP، في هذا المثال إستخدام IP الثابت.
    2. ثبتت العنوان، في هذا مثال 10.1.2.1/24.
    3. وانقر فوق OK.
      واجهة Gi0/1 IPv4واجهة Gi0/1 IPv4

    كرر خطوة مماثلة لتكوين الواجهة GigabitEthernet0/2، في نافذة Edit Physical Interface، ضمن علامة التبويب General:

    1. ثبتت الإسم، في هذه الحالة داخل.
    2. قم بتمكين الواجهة من خلال تحديد خانة الاختيار تمكين.
    3. في القائمة المنسدلة منطقة الأمان"، حدد منطقة أمان موجودة أو قم بإنشاء منطقة أمان جديدة، في هذا المثال على Inside_Zone.

    واجهة gi0/2 عامةواجهة gi0/2 عامة

    تحت علامة التبويب IPv4:

    1. أختر أحد الخيارات من القائمة المنسدلة نوع IP، في هذا المثال إستخدام IP الثابت.
    2. ثبتت العنوان، في هذا مثال 10.1.3.1/24.
    3. وانقر فوق OK.

    واجهة Gi0/2 IPv4واجهة Gi0/2 IPv4

    انقر فوق حفظ التكوين ونشره.

    انتقل إلى كائنات > إدارة الكائن، أختر شبكة من قائمة أنواع الكائنات، واختر إضافة كائن من القائمة المنسدلة إضافة شبكة لإنشاء كائن لبوابة ISP الأولى.

    كائن الشبكةكائن الشبكة

    في نافذة كائن الشبكة الجديد:

    1. ثبتت الإسم، في هذا مثال gw-outside1.
    2. في حقل الشبكة، حدد الخيار المطلوب وأدخل قيمة مناسبة، في هذا المثال المضيف و10.1.1.2.
    3. انقر فوق حفظ.

    كائن GW-خارجي1كائن GW-خارجي1

    كرر خطوات مماثلة لإنشاء كائن آخر لبوابة ISP الثانية. في نافذة كائن الشبكة الجديد:

    1. ثبتت الإسم، في هذا مثال GW-خارجي2.
    2. في حقل الشبكة، حدد الخيار المطلوب وأدخل قيمة مناسبة، في هذا المثال المضيف و10.1.2.2.
    3. انقر فوق حفظ.

    كائن GW-خارجي2كائن GW-خارجي2

    الخطوة 1. تكوين منطقة ECMP

    انتقل إلى الأجهزة > إدارة الجهاز وحرر جهاز الدفاع عن التهديد، انقر على التوجيه. من القائمة المنسدلة الخاصة بالموجه الظاهري، حدد الموجه الظاهري الذي تريد إنشاء منطقة ECMP فيه. يمكنك إنشاء مناطق ECMP في الموجه الظاهري العالمي والموجهات الافتراضية المعرفة من قبل المستخدم. في هذا المثال، أختر عام

    انقر فوق ECMP، ثم انقر فوق إضافة.

    تكوين منطقة ECMPتكوين منطقة ECMP

    في نافذة إضافة بروتوكول رسائل التحكم في الإنترنت (ECMP):

    1. قم بتعيين اسم منطقة ECMP، في هذا المثال خارج.
    2. لربط الواجهات، حدد الواجهة ضمن مربع الواجهات المتاحة، ثم انقر إضافة. في هذا المثال خارج 1 وخارج 2.
    3. وانقر فوق OK.

    تكوين منطقة ECMP في الخارجتكوين منطقة ECMP في الخارج

    انقر فوق حفظ التكوين ونشره.

    الخطوة 2. تكوين كائنات IP SLA

    انتقل إلى كائنات > إدارة الكائن، واختر شاشة SLA من قائمة أنواع الكائنات، انقر فوق إضافة شاشة SLA لإضافة شاشة SLA جديدة لبوابة ISP الأولى.

    إنشاء شاشة SLAإنشاء شاشة SLA

    في نافذة كائن مراقبة SLA الجديدة:

    1. قم بتعيين الاسم لكائن جهاز مراقبة SLA، في هذه الحالة SLA-outside1.
    2. أدخل رقم معرف عملية SLA في حقل معرف مدرب SLA. تتراوح القيم من 1 إلى 2147483647. يمكنك إنشاء عمليات SLA بحد أقصى يبلغ 2000 على الجهاز. يجب أن يكون كل رقم معرف فريدا للنهج وتكوين الجهاز. في هذا المثال 1.
    3. أدخل عنوان IP الذي يتم مراقبته للتوفر بواسطة عملية SLA، في حقل العنوان المراقب. في هذا المثال 10.1.1.2.
    4. تعرض قائمة المناطق/الواجهات المتاحة كلا من المناطق ومجموعات الواجهة. في قائمة المناطق/الواجهات، أضف المناطق أو مجموعات الواجهة التي تحتوي على الواجهات التي يتصل الجهاز من خلالها بمحطة الإدارة. لتحديد واجهة واحدة، يلزمك إنشاء منطقة أو مجموعات الواجهة للواجهة. في هذا المثال خارج1_zone.
    5. انقر فوق حفظ.

    SLA Object SLA-Outside1SLA Object SLA-Outside1

    كرر الخطوات المماثلة لإنشاء شاشة SLA أخرى لبوابة ISP الثانية.

    في نافذة كائن مراقبة SLA الجديدة:

    1. قم بتعيين الاسم لكائن جهاز مراقبة SLA، في هذه الحالة SLA-Outside2.
    2. أدخل رقم معرف عملية SLA في حقل معرف مدرب SLA. تتراوح القيم من 1 إلى 2147483647. يمكنك إنشاء عمليات SLA بحد أقصى يبلغ 2000 على الجهاز. يجب أن يكون كل رقم معرف فريدا للنهج وتكوين الجهاز. في هذا المثال 2.
    3. أدخل عنوان IP الذي يتم مراقبته للتوفر بواسطة عملية SLA، في حقل العنوان المراقب. في هذا المثال 10.1.2.2.
    4. تعرض قائمة المناطق/الواجهات المتاحة كلا من المناطق ومجموعات الواجهة. في قائمة المناطق/الواجهات، أضف المناطق أو مجموعات الواجهة التي تحتوي على الواجهات التي يتصل الجهاز من خلالها بمحطة الإدارة. لتحديد واجهة واحدة، يلزمك إنشاء منطقة أو مجموعات الواجهة للواجهة. في هذا المثال خارج2_zone.
    5. انقر فوق حفظ.

    SLA Object SLA-Outside2SLA Object SLA-Outside2

    الخطوة 3. تكوين المسارات الثابتة مع مسار المسار

    انتقل إلى الأجهزة>إدارة الجهاز، وحرر جهاز الدفاع عن التهديد، انقر فوق التوجيه، من القائمة المنسدلة الموجهات الظاهرية، وحدد الموجه الظاهري الذي تقوم بتكوين مسار ثابت له. في هذا المثال عمومي.

    حدد مسار ثابت، انقر فوق إضافة مسار لإضافة المسار الافتراضي إلى بوابة ISP الأولى.

    تكوين المسار الثابتتكوين المسار الثابت

    في نافذة إضافة تكوين مسار ثابت:

    1. انقر فوق IPv4 أو IPv6 استنادا إلى نوع المسار الثابت الذي تقوم بإضافته. في هذا المثال IPv4.
    2. أخترت القارن إلى أي هذا ممر ساكن إستاتيكي يطبق. في هذا المثال خارج 1.
    3. في قائمة الشبكة المتاحة، أختر الشبكة الوجهة. في هذا المثال، any-IPv4.
    4. في حقل العبارة أو عبارة IPv6، أدخل موجه العبارة أو اختاره وهو الخطوة التالية لهذا المسار. يمكنك توفير عنوان IP أو كائن شبكات/بيئات مضيفة. في هذا المثال GW-outside1.
    5. في الحقل المتري، أدخل عدد الخطوات إلى شبكة الوجهة. تتراوح القيم الصالحة من 1 إلى 255؛ القيمة الافتراضية هي 1. في هذا المثال 1.
    6. لمراقبة توفر المسار، أدخل أو أختر اسم كائن مراقبة SLA الذي يحدد سياسة المراقبة، في حقل تعقب المسار. في هذا المثال، SLA-outside1.
    7. وانقر فوق OK.

    إضافة المسار الثابت أولا ISPإضافة المسار الثابت أولا ISP

    كرر الخطوات المماثلة لإضافة المسار الافتراضي إلى بوابة ISP الثانية. في نافذة إضافة تكوين مسار ثابت:

    1. انقر فوق IPv4 أو IPv6 استنادا إلى نوع المسار الثابت الذي تقوم بإضافته. في هذا المثال IPv4.
    2. أخترت القارن إلى أي هذا ممر ساكن إستاتيكي يطبق. في هذا المثال خارج2.
    3. في قائمة الشبكة المتاحة، أختر الشبكة الوجهة. في هذا المثال، any-IPv4.
    4. في حقل العبارة أو عبارة IPv6، أدخل موجه العبارة أو اختاره وهو الخطوة التالية لهذا المسار. يمكنك توفير عنوان IP أو كائن شبكات/بيئات مضيفة. في هذا المثال GW-Outside2.
    5. في الحقل المتري، أدخل عدد الخطوات إلى شبكة الوجهة. تتراوح القيم الصالحة من 1 إلى 255؛ القيمة الافتراضية هي 1. تأكد من تحديد نفس المقياس كالمسار الأول، في هذا المثال 1.
    6. لمراقبة توفر المسار، أدخل أو أختر اسم كائن مراقبة SLA الذي يحدد سياسة المراقبة، في حقل تعقب المسار. في هذا المثال، إتفاقية مستوى الخدمة (SLA)-outside2.
    7. وانقر فوق OK.

    إضافة موجه ساكن إستاتيكي ثان ISPإضافة موجه ساكن إستاتيكي ثان ISP

    انقر فوق حفظ التكوين ونشره.

    التحقق من الصحة

    قم بتسجيل الدخول إلى واجهة سطر الأوامر (CLI) الخاصة ب FTD، ثم قم بتشغيل الأمر show zone  للتحقق من معلومات حول مناطق حركة مرور ECMP، بما في ذلك الواجهات التي تشكل جزءا من كل منطقة.

    > show zone
    Zone: Outside ecmp
    Security-level: 0
    Zone member(s): 2
    Outside2 GigabitEthernet0/1
    Outside1 GigabitEthernet0/0

    قم بتشغيل الأمر show running-config route للتحقق من التكوين الجاري تشغيله لتكوين التوجيه، في هذه الحالة هناك موجهان ثابتان مع مسارات المسار.

    > show running-config route
    route Outside1 0.0.0.0 0.0.0.0 10.1.1.2 1 track 1
    route Outside2 0.0.0.0 0.0.0.0 10.1.2.2 1 track 2

    قم بتشغيل الأمر show route للتحقق من جدول التوجيه، في هذه الحالة هناك مساران افتراضيان هما عبر الواجهة خارج1 و خارج2 بالتكلفة المتساوية، يمكن توزيع حركة المرور بين دائرتين ISP.

    > show route

    Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
    D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area 
    N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
    E1 - OSPF external type 1, E2 - OSPF external type 2, V - VPN
    i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
    ia - IS-IS inter area, * - candidate default, U - per-user static route
    o - ODR, P - periodic downloaded static route, + - replicated route
    SI - Static InterVRF, BI - BGP InterVRF
    Gateway of last resort is 10.1.2.2 to network 0.0.0.0

    S* 0.0.0.0 0.0.0.0 [1/0] via 10.1.2.2, Outside2
                       [1/0] via 10.1.1.2, Outside1
    C 10.1.1.0 255.255.255.0 is directly connected, Outside1
    L 10.1.1.1 255.255.255.255 is directly connected, Outside1
    C 10.1.2.0 255.255.255.0 is directly connected, Outside2
    L 10.1.2.1 255.255.255.255 is directly connected, Outside2
    C 10.1.3.0 255.255.255.0 is directly connected, Inside
    L 10.1.3.1 255.255.255.255 is directly connected, Inside

    قم بتشغيل الأمر show sla monitor configuration  للتحقق من تكوين شاشة SLA.

    > show sla monitor configuration
    SA Agent, Infrastructure Engine-II
    Entry number: 1
    Owner: 
    Tag: 
    Type of operation to perform: echo
    Target address: 10.1.1.2
    Interface: Outside1
    Number of packets: 1
    Request size (ARR data portion): 28
    Operation timeout (milliseconds): 5000
    Type Of Service parameters: 0x0
    Verify data: No
    Operation frequency (seconds): 60
    Next Scheduled Start Time: Start Time already passed
    Group Scheduled : FALSE
    Life (seconds): Forever
    Entry Ageout (seconds): never
    Recurring (Starting Everyday): FALSE
    Status of entry (SNMP RowStatus): Active
    Enhanced History:

    Entry number: 2
    Owner: 
    Tag: 
    Type of operation to perform: echo
    Target address: 10.1.2.2
    Interface: Outside2
    Number of packets: 1
    Request size (ARR data portion): 28
    Operation timeout (milliseconds): 5000
    Type Of Service parameters: 0x0
    Verify data: No
    Operation frequency (seconds): 60
    Next Scheduled Start Time: Start Time already passed
    Group Scheduled : FALSE
    Life (seconds): Forever
    Entry Ageout (seconds): never
    Recurring (Starting Everyday): FALSE
    Status of entry (SNMP RowStatus): Active
    Enhanced History:

    قم بتشغيل الأمر show sla monitor operational-state لتأكيد حالة شاشة SLA. في هذه الحالة، يمكنك العثور على المهلة: خطأ" في إخراج الأمر، وهي تشير إلى أن صدى ICMP إلى البوابة يتم الرد، لذلك فإن المسار الافتراضي من خلال واجهة الهدف نشط ويتم تثبيته في جدول التوجيه.

    > show sla monitor operational-state
    Entry number: 1
    Modification time: 09:31:28.785 UTC Thu Feb 15 2024
    Number of Octets Used by this Entry: 2056
    Number of operations attempted: 82
    Number of operations skipped: 0
    Current seconds left in Life: Forever
    Operational state of entry: Active
    Last time this entry was reset: Never
    Connection loss occurred: FALSE
    Timeout occurred: FALSE
    Over thresholds occurred: FALSE
    Latest RTT (milliseconds): 1
    Latest operation start time: 10:52:28.785 UTC Thu Feb 15 2024
    Latest operation return code: OK
    RTT Values:
    RTTAvg: 1 RTTMin: 1 RTTMax: 1
    NumOfRTT: 1 RTTSum: 1 RTTSum2: 1

    Entry number: 2
    Modification time: 09:31:28.785 UTC Thu Feb 15 2024
    Number of Octets Used by this Entry: 2056
    Number of operations attempted: 82
    Number of operations skipped: 0
    Current seconds left in Life: Forever
    Operational state of entry: Active
    Last time this entry was reset: Never
    Connection loss occurred: FALSE
    Timeout occurred: FALSE
    Over thresholds occurred: FALSE
    Latest RTT (milliseconds): 1
    Latest operation start time: 10:52:28.785 UTC Thu Feb 15 2024
    Latest operation return code: OK
    RTT Values:
    RTTAvg: 1 RTTMin: 1 RTTMax: 1
    NumOfRTT: 1 RTTSum: 1 RTTSum2: 1

    موازنة التحميل

    حركة مرور أولية عبر بروتوكول FTD للتحقق من ما إذا كان حمل بروتوكول ECMP يعمل على موازنة حركة مرور البيانات بين البوابات في منطقة ECMP. في هذه الحالة، قم ببدء اتصال برنامج Telnet من Inside-Host1 (10.1.3.2) و Inside-Host2 (10.1.3.4) إلى Internet-Host (10.1.5.2)، قم بتشغيل الأمر show conn  لتأكيد أن حركة المرور تكون متوازنة الحمل بين إرتباطات ISP، داخل-Host1 (10.1.3.2) تمر عبر الواجهة خارج1، داخل-Host2 (10.1.3.4) يمر عبر الواجهة خارج2.

    > show conn
    2 in use, 3 most used
    Inspect Snort:
    preserve-connection: 2 enabled, 0 in effect, 2 most enabled, 0 most in effect

    TCP Inside 10.1.3.2:46069 Outside1 10.1.5.2:23, idle 0:00:24, bytes 1329, flags UIO N1
    TCP Inside 10.1.3.4:61915 Outside2 10.1.5.2:23, idle 0:00:04, bytes 1329, flags UIO N1
    note-icon

    ملاحظة: يتم موازنة حمل حركة المرور بين البوابات المحددة استنادا إلى خوارزمية تقطع عناوين IP للمصدر والوجهة، والواجهة الواردة، والبروتوكول، ومنافذ المصدر والوجهة. عند تشغيل الاختبار، يمكن توجيه حركة المرور التي تقوم بمحاكاتها إلى نفس البوابة بسبب خوارزمية التجزئة، وهذا متوقع، قم بتغيير أي قيمة بين المجموعات 6 (مصدر IP، وجهة IP، واجهة واردة، بروتوكول، منفذ مصدر، منفذ وجهة) لإجراء تغيير على نتيجة التجزئة.

    طريق ضائع

    إذا كان الارتباط إلى بوابة ISP الأولى معطلا، في هذه الحالة، فقم بإيقاف تشغيل موجه العبارة الأول لمحاكاته. إذا لم يستلم FTD ردا على ECHO من بوابة ISP الأولى داخل مؤقت الحد المحدد في كائن "مراقبة SLA"، يتم إعتبار المضيف غير قابل للوصول وتم وضع علامة عليه كأسفل. كما تتم إزالة المسار المتعقب إلى البوابة الأولى من جدول التوجيه.

    قم بتشغيل الأمر show sla monitor operational-state لتأكيد الحالة الحالية لشاشة SLA. في هذه الحالة، يمكنك العثور على "المهلة حدثت: صواب" في إخراج الأمر، وهي تشير إلى أن صدى ICMP إلى بوابة ISP الأولى لا يستجيب.

    > show sla monitor operational-state
    Entry number: 1
    Modification time: 09:31:28.783 UTC Thu Feb 15 2024
    Number of Octets Used by this Entry: 2056
    Number of operations attempted: 104
    Number of operations skipped: 0
    Current seconds left in Life: Forever
    Operational state of entry: Active
    Last time this entry was reset: Never
    Connection loss occurred: FALSE
    Timeout occurred: TRUE
    Over thresholds occurred: FALSE
    Latest RTT (milliseconds): NoConnection/Busy/Timeout
    Latest operation start time: 11:14:28.813 UTC Thu Feb 15 2024
    Latest operation return code: Timeout
    RTT Values:
    RTTAvg: 0 RTTMin: 0 RTTMax: 0
    NumOfRTT: 0 RTTSum: 0 RTTSum2: 0

    Entry number: 2
    Modification time: 09:31:28.783 UTC Thu Feb 15 2024
    Number of Octets Used by this Entry: 2056
    Number of operations attempted: 104
    Number of operations skipped: 0
    Current seconds left in Life: Forever
    Operational state of entry: Active
    Last time this entry was reset: Never
    Connection loss occurred: FALSE
    Timeout occurred: FALSE
    Over thresholds occurred: FALSE
    Latest RTT (milliseconds): 1
    Latest operation start time: 11:14:28.813 UTC Thu Feb 15 2024
    Latest operation return code: OK
    RTT Values:
    RTTAvg: 1 RTTMin: 1 RTTMax: 1
    NumOfRTT: 1 RTTSum: 1 RTTSum2: 1

    قم بتشغيل الأمر للتحقق show route  من جدول التوجيه الحالي، فيتم إزالة المسار إلى أول بوابة ISP من خلال الواجهة خارج 1، وهناك مسار افتراضي واحد فقط نشط إلى بوابة ISP الثانية من خلال الواجهة خارج2.

    > show route

    Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
    D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area 
    N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
    E1 - OSPF external type 1, E2 - OSPF external type 2, V - VPN
    i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
    ia - IS-IS inter area, * - candidate default, U - per-user static route
    o - ODR, P - periodic downloaded static route, + - replicated route
    SI - Static InterVRF, BI - BGP InterVRF
    Gateway of last resort is 10.1.2.2 to network 0.0.0.0

    S* 0.0.0.0 0.0.0.0 [1/0] via 10.1.2.2, Outside2
    C 10.1.1.0 255.255.255.0 is directly connected, Outside1
    L 10.1.1.1 255.255.255.255 is directly connected, Outside1
    C 10.1.2.0 255.255.255.0 is directly connected, Outside2
    L 10.1.2.1 255.255.255.255 is directly connected, Outside2
    C 10.1.3.0 255.255.255.0 is directly connected, Inside
    L 10.1.3.1 255.255.255.255 is directly connected, Inside

    قم بتشغيل الأمر show conn ، يمكنك العثور على التوصيلات لا تزال قيد التشغيل. كما تكون جلسات عمل Telnet نشطة على Inside-Host1 (10.1.3.2) و Inside-Host2 (10.1.3.4) دون أي مقاطعة.

    > show conn
    2 in use, 3 most used
    Inspect Snort:
    preserve-connection: 2 enabled, 0 in effect, 2 most enabled, 0 most in effect

    TCP Inside 10.1.3.2:46069 Outside1 10.1.5.2:23, idle 0:00:22, bytes 1329, flags UIO N1
    TCP Inside 10.1.3.4:61915 Outside2 10.1.5.2:23, idle 0:00:02, bytes 1329, flags UIO N1
    note-icon

    ملاحظة: يمكنك ملاحظة show conn في إخراج جلسة عمل برنامج Telnet من Inside-Host1 (10.1.3.2) ما زالت من خلال الواجهة خارج1، رغم إزالة المسار الافتراضي عبر الواجهة خارج1 من جدول التوجيه. هذا متوقع وحسب التصميم، تتدفق حركة المرور الفعلية عبر الواجهة خارج2. إذا قمت ببدء اتصال جديد من Inside-Host1 (10.1.3.2) إلى Internet-Host (10.1.5.2)، فيمكنك العثور على جميع حركات مرور البيانات من خلال واجهة خارج2.

    استكشاف الأخطاء وإصلاحها

    للتحقق من صحة تغيير جدول التوجيه، قم بتشغيل الأمر debug ip routing.

    في هذا المثال، عندما يكون الارتباط ببوابة ISP الأولى معطلا، تتم إزالة المسار عبر الواجهة خارج1 من جدول التوجيه.

    > debug ip routing
    IP routing debugging is on

    RT: ip_route_delete 0.0.0.0 0.0.0.0 via 10.1.1.2, Outside1
    ha_cluster_synced 0 routetype 0

    RT: del 0.0.0.0 via 10.1.1.2, static metric [1/0]NP-route: Delete-Output 0.0.0.0/0 hop_count:1 , via 0.0.0.0, Outside1

    RT(mgmt-only): NP-route: Update-Output 0.0.0.0/0 hop_count:1 , via 10.1.2.2, Outside2

    NP-route: Update-Input 0.0.0.0/0 hop_count:1 Distance:1 Flags:0X0 , via 10.1.2.2, Outside2

    قم بتشغيل الأمر show route لتأكيد جدول التوجيه الحالي.

    > show route

    Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
    D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area 
    N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
    E1 - OSPF external type 1, E2 - OSPF external type 2, V - VPN
    i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
    ia - IS-IS inter area, * - candidate default, U - per-user static route
    o - ODR, P - periodic downloaded static route, + - replicated route
    SI - Static InterVRF, BI - BGP InterVRF
    Gateway of last resort is 10.1.2.2 to network 0.0.0.0

    S* 0.0.0.0 0.0.0.0 [1/0] via 10.1.2.2, Outside2
    C 10.1.1.0 255.255.255.0 is directly connected, Outside1
    L 10.1.1.1 255.255.255.255 is directly connected, Outside1
    C 10.1.2.0 255.255.255.0 is directly connected, Outside2
    L 10.1.2.1 255.255.255.255 is directly connected, Outside2
    C 10.1.3.0 255.255.255.0 is directly connected, Inside
    L 10.1.3.1 255.255.255.255 is directly connected, Inside

    عندما يتم تشغيل الارتباط بواجهة ISP الأولى مرة أخرى، تتم إضافة المسار عبر الواجهة خارج1 مرة أخرى إلى جدول التوجيه.

    > debug ip routing
    IP routing debugging is on
    NP-route: Update-Output 0.0.0.0/0 hop_count:1 , via 10.1.2.2, Outside2
    NP-route: Update-Output 0.0.0.0/0 hop_count:1 , via 10.1.1.2, Outside2
    NP-route: Update-Input 0.0.0.0/0 hop_count:2 Distance:1 Flags:0X0 , via 10.1.2.2, Outside2
     via 10.1.1.2, Outside1

    قم بتشغيل الأمر show route لتأكيد جدول التوجيه الحالي.

    > show route

    Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
    D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area 
    N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
    E1 - OSPF external type 1, E2 - OSPF external type 2, V - VPN
    i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
    ia - IS-IS inter area, * - candidate default, U - per-user static route
    o - ODR, P - periodic downloaded static route, + - replicated route
    SI - Static InterVRF, BI - BGP InterVRF
    Gateway of last resort is 10.1.2.2 to network 0.0.0.0

    S* 0.0.0.0 0.0.0.0 [1/0] via 10.1.2.2, Outside2
                       [1/0] via 10.1.1.2, Outside1
    C 10.1.1.0 255.255.255.0 is directly connected, Outside1
    L 10.1.1.1 255.255.255.255 is directly connected, Outside1
    C 10.1.2.0 255.255.255.0 is directly connected, Outside2
    L 10.1.2.1 255.255.255.255 is directly connected, Outside2
    C 10.1.3.0 255.255.255.0 is directly connected, Inside
    L 10.1.3.1 255.255.255.255 is directly connected, Inside

    محفوظات المراجعة

    المراجعة تاريخ النشر التعليقات
    1.0
    16-Feb-2024
    الإصدار الأولي
    TAC Authored

    تمت المساهمة بواسطة مهندسو Cisco

    • Chao Feng

    هل كان هذا المستند مفيدًا؟

    Feedbackالتعليقات

    اتصل بنا

    ينطبق هذا المستند على هذه المنتجات