Adaptive Security Appliance Equal Cost Multi Path Configuration Example

Download-Optionen

  • PDF     (121.3 KB)
    Mit Adobe Reader auf verschiedenen Geräten anzeigen
  • ePub     (87.4 KB)
    In verschiedenen Apps auf iPhone, iPad, Android, Sony Reader oder Windows Phone anzeigen
  • Mobi (Kindle)     (72.1 KB)
    Auf einem Kindle-Gerät oder einer Kindle-App auf mehreren Geräten anzeigen
Aktualisiert:21. März 2013
Dokument-ID:115986

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

Einführung

Dieses Dokument enthält Informationen zur Konfiguration der Adaptive Security Appliance (ASA) mit bis zu drei Routen gleicher Kosten zum gleichen Zielnetzwerk pro Schnittstelle. Die ASA hackt die Quell- und Ziel-IP-Adressen des ausgehenden Pakets, um zu bestimmen, welche Route sie zur Bestimmung des nächsten Hop für das Paket verwenden wird (die ASA verwendet keinen Round-Robin-Algorithmus, um den nächsten Hop auszuwählen). Im Gegensatz zum Round-Robin-Lastenausgleich werden Pakete mit demselben Quell- und Zielpaar immer an denselben nächsten Hop gesendet, wie bei dem berechneten Hash.

Voraussetzungen

Anforderungen

Für dieses Dokument bestehen keine speziellen Anforderungen.

Verwendete Komponenten

Dieses Dokument ist nicht auf bestimmte Software- und Hardwareversionen beschränkt.

Die Informationen in diesem Dokument wurden von den Geräten in einer bestimmten Laborumgebung erstellt. Alle in diesem Dokument verwendeten Geräte haben mit einer leeren (Standard-)Konfiguration begonnen. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die potenziellen Auswirkungen eines Befehls verstehen.

Konventionen

Weitere Informationen zu Dokumentkonventionen finden Sie in den Cisco Technical Tips Conventions (Technische Tipps zu Konventionen von Cisco).

Konfigurieren

In diesem Abschnitt erhalten Sie Informationen zum Konfigurieren der in diesem Dokument beschriebenen Funktionen.

Hinweis: Verwenden Sie das Command Lookup Tool (nur registrierte Kunden), um weitere Informationen zu den in diesem Abschnitt verwendeten Befehlen zu erhalten.

Konfigurationen

In diesem Dokument werden die folgenden Konfigurationen beschrieben:

  • Statische Routen zum Erzielen von ECMP

  • Open Shortest Path First Routing Protocol für die Erfüllung von ECMP

Statische Routen zum Erzielen von ECMP

Dieses Beispiel zeigt statische Routen, bei denen es sich um Routen gleicher Kosten handelt, die den Datenverkehr an drei verschiedene Gateways der externen Schnittstelle weiterleiten. Die Security Appliance verteilt den Datenverkehr auf die angegebenen Gateways, basierend auf den Quell- und Ziel-IP-Adressen im Paket.

Mehrere statische Routen, die ECMP verwenden, sind nur auf derselben Schnittstelle verfügbar. ECMP wird nicht über mehrere Schnittstellen hinweg unterstützt.

ASA-Beispielkonfiguration:

route outside 10.10.10.0 255.255.255.0 192.168.1.1
route outside 10.10.10.0 255.255.255.0 192.168.1.2
route outside 10.10.10.0 255.255.255.0 192.168.1.3

Route Output auf ASA anzeigen:

S 10.10.10.0 255.255.255.0 [1/0] via 192.168.1.1, outside
                                    [1/0] via 192.168.1.2, outside
                                    [1/0] via 192.168.1.3, outside

Open Shortest Path First Routing Protocol für die Erfüllung von ECMP

Open Shortest Path First (OSPF) kann für die Nutzung von ECMP konfiguriert werden, indem Routen mit demselben Kostenpfad bereitgestellt werden. Im Folgenden sehen Sie ein Beispiel für die Verwendung von OSPF zwischen einer ASA und zwei benachbarten Routern.

In diesem Beispiel wird OSPF von den beiden Routern auf der Außenseite ausgeführt, die so konfiguriert sind, dass sie Standardrouten an die ASA injizieren. Standardrouten werden der ASA-Routing-Tabelle hinzugefügt. Da sie dieselbe Metrik senden, fügt die ASA diese als ECMPs dem Standard-Zielnetzwerk hinzu.

OSPF ist in diesem Dokument enthalten. Es können jedoch alle von der ASA unterstützten Routing-Protokolle verwendet werden, z. B. das Enhanced Interior Gateway Routing Protocol (EIGRP).

Beispielkonfiguration

ASA:

router ospf 10
 network 10.10.10.0 255.255.255.0 area 0
 log-adj-changes

Router 1:

router ospf 10
 network 10.10.10.0 0.0.0.255 area 0 
 default-information originate metric 10

Router 2:

router ospf 10
 network 10.10.10.0 0.0.0.255 area 0 
 default-information originate metric 10

Der Befehl default-information originate legt die Metrik auf 10 fest, die die Route mit demselben Kostenpfad installiert, wenn sie von der ASA empfangen wird.

Route Output auf ASA anzeigen:

O*E2 0.0.0.0 0.0.0.0 [110/1] via 10.10.10.1, 0:10:18, outside
                            [110/1] via 10.10.10.2, 0:10:18, outside

Überprüfen

Für diese Konfiguration ist derzeit kein Überprüfungsverfahren verfügbar.

Fehlerbehebung

Wenn EIGRP zum Durchführen des ECMP verwendet wird, ziehen Sie die Cisco Bug-ID CSCti54545 (nur registrierte Kunden) zu Rate. Die EIGRP-Kennzahlen werden auf der ASA nicht ordnungsgemäß aktualisiert.

Zugehörige Informationen

Revisionsverlauf

Überarbeitung Veröffentlichungsdatum Kommentare
1.0
21-Mar-2013
Erstveröffentlichung
TAC Authored

Beiträge von Cisco Ingenieuren

War dieses Dokument hilfreich?

FeedbackFeedback

Cisco kontaktieren

Dieses Dokument gilt für folgende Produkte.