ASA/PIX 7.x: Konfigurationsbeispiel für redundante oder Backup-ISP-Verbindungen

Download-Optionen

  • PDF     (469.2 KB)
    Mit Adobe Reader auf verschiedenen Geräten anzeigen
  • ePub     (318.5 KB)
    In verschiedenen Apps auf iPhone, iPad, Android, Sony Reader oder Windows Phone anzeigen
  • Mobi (Kindle)     (477.6 KB)
    Auf einem Kindle-Gerät oder einer Kindle-App auf mehreren Geräten anzeigen
Aktualisiert:13. Oktober 2008
Dokument-ID:70559

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

Einleitung

Ein Problem bei statischen Routen besteht darin, dass kein inhärenter Mechanismus vorhanden ist, um zu bestimmen, ob die Route aktiv oder inaktiv ist. Die Route verbleibt in der Routing-Tabelle, auch wenn das nächste Hop-Gateway nicht mehr verfügbar ist. Statische Routen werden nur aus der Routing-Tabelle entfernt, wenn die zugeordnete Schnittstelle der Sicherheits-Appliance ausfällt. Um dieses Problem zu beheben, wird eine Funktion zur statischen Routenverfolgung verwendet, um die Verfügbarkeit einer statischen Route zu verfolgen. Wenn diese Route ausfällt, entfernen Sie sie aus der Routing-Tabelle und ersetzen sie durch eine Backup-Route.

Dieses Dokument enthält ein Beispiel für die Verwendung der statischen Routen-Tracking-Funktion auf den Security Appliances der Serie PIX 500 oder den Adaptive Security Appliances der Serie ASA 5500, damit das Gerät redundante oder Backup-Internetverbindungen verwenden kann. In diesem Beispiel ermöglicht die statische Routenverfolgung der Sicherheits-Appliance die Verwendung einer kostengünstigen Verbindung zu einem sekundären Internet Service Provider (ISP), falls die primäre Mietleitung nicht mehr verfügbar ist.

Um diese Redundanz zu erreichen, ordnet die Sicherheits-Appliance eine statische Route einem von Ihnen definierten Überwachungsziel zu. Beim SLA-Vorgang (Service Level Agreement) wird das Ziel mit regelmäßigen ICMP-Echo-Anfragen (Internet Control Message Protocol) überwacht. Wenn keine Echo-Antwort empfangen wird, gilt das Objekt als ausgefallen, und die zugehörige Route wird aus der Routing-Tabelle entfernt. Anstelle der entfernten Route wird eine zuvor konfigurierte Backup-Route verwendet. Während die Backup-Route verwendet wird, versucht der SLA-Überwachungsvorgang weiterhin, das Überwachungsziel zu erreichen. Sobald das Ziel wieder verfügbar ist, wird die erste Route in der Routing-Tabelle ersetzt, und die Backup-Route wird entfernt.

Hinweis: Die in diesem Dokument beschriebene Konfiguration kann nicht für den Lastenausgleich oder die Lastverteilung verwendet werden, da sie auf ASA/PIX nicht unterstützt wird. Verwenden Sie diese Konfiguration nur für Redundanz- oder Sicherungszwecke. Ausgehender Datenverkehr verwendet den primären ISP und dann den sekundären ISP, wenn der primäre ausfällt. Der Ausfall des primären ISP führt zu einer vorübergehenden Unterbrechung des Datenverkehrs.

Voraussetzungen

Anforderungen

Wählen Sie ein Überwachungsziel aus, das auf ICMP-Echo-Anfragen antworten kann. Das Ziel kann ein beliebiges Netzwerkobjekt sein, das Sie auswählen. Es wird jedoch empfohlen, ein Ziel zu wählen, das eng mit Ihrer ISP-Verbindung verknüpft ist. Mögliche Überwachungsziele sind:

  • Die Adresse des ISP-Gateways

  • Eine andere vom ISP verwaltete Adresse

  • Ein Server in einem anderen Netzwerk, z. B. ein AAA-Server, mit dem die Sicherheits-Appliance kommunizieren muss

  • Ein beständiges Netzwerkobjekt in einem anderen Netzwerk (ein Desktop- oder Notebook-Computer, den Sie nachts herunterfahren können, ist keine gute Wahl)

In diesem Dokument wird davon ausgegangen, dass die Sicherheits-Appliance vollständig betriebsbereit und konfiguriert ist, damit der Cisco ASDM Konfigurationsänderungen vornehmen kann.

Hinweis: Informationen zum Zulassen der Konfiguration des Geräts durch den ASDM finden Sie unter Zulassen des HTTPS-Zugriffs für ASDM.

Verwendete Komponenten

Die Informationen in diesem Dokument basierend auf folgenden Software- und Hardware-Versionen:

  • Cisco PIX Security Appliance 515E mit Softwareversion 7.2(1) oder höher

  • Cisco Adaptive Security Device Manager 5.2(1) oder höher

Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netz Live ist, überprüfen Sie, ob Sie die mögliche Auswirkung jedes möglichen Befehls verstehen.

Verwandte Produkte

Sie können diese Konfiguration auch mit der Cisco Security Appliance der Serie ASA 5500 Version 7.2(1) verwenden.

Hinweis: Der Befehl backup interface ist erforderlich, um die vierte Schnittstelle auf der ASA 5505 zu konfigurieren. Weitere Informationen finden Sie unter Backup-Schnittstelle.

Konventionen

Weitere Informationen zu Dokumentkonventionen finden Sie unter Cisco Technical Tips Conventions (Technische Tipps von Cisco zu Konventionen).

Hintergrundinformationen

In diesem Beispiel unterhält die Sicherheits-Appliance zwei Verbindungen zum Internet. Die erste Verbindung ist eine Hochgeschwindigkeits-Mietleitung, auf die über einen Router zugegriffen wird, der vom primären ISP bereitgestellt wird. Die zweite Verbindung ist eine DSL-Leitung (Digital Subscriber Line) mit niedrigerer Geschwindigkeit, auf die über ein vom sekundären ISP bereitgestelltes DSL-Modem zugegriffen werden kann.

Hinweis: In diesem Beispiel findet kein Lastenausgleich statt.

Die DSL-Verbindung ist inaktiv, solange die Mietleitung aktiv ist und das primäre ISP-Gateway erreichbar ist. Wenn jedoch die Verbindung zum primären ISP ausfällt, ändert die Sicherheits-Appliance die Routing-Tabelle, um den Datenverkehr an die DSL-Verbindung weiterzuleiten. Diese Redundanz wird durch statische Routenverfolgung erreicht.

Die Sicherheits-Appliance wird mit einer statischen Route konfiguriert, die den gesamten Internetverkehr an den primären ISP weiterleitet. Der SLA-Überwachungsprozess überprüft alle 10 Sekunden, ob das primäre ISP-Gateway erreichbar ist. Wenn der SLA-Überwachungsprozess feststellt, dass das primäre ISP-Gateway nicht erreichbar ist, wird die statische Route, die den Datenverkehr an diese Schnittstelle weiterleitet, aus der Routing-Tabelle entfernt. Um diese statische Route zu ersetzen, wird eine alternative statische Route installiert, die den Datenverkehr an den sekundären ISP weiterleitet. Diese alternative statische Route leitet den Datenverkehr über das DSL-Modem an den sekundären ISP weiter, bis die Verbindung zum primären ISP erreichbar ist.

Diese Konfiguration bietet eine relativ kostengünstige Möglichkeit, sicherzustellen, dass der ausgehende Internetzugriff für Benutzer hinter der Sicherheits-Appliance verfügbar bleibt. Wie in diesem Dokument beschrieben, eignet sich diese Konfiguration möglicherweise nicht für den eingehenden Zugriff auf Ressourcen hinter der Sicherheits-Appliance. Für nahtlose eingehende Verbindungen sind erweiterte Netzwerkkenntnisse erforderlich. Diese Kompetenzen werden in diesem Dokument nicht behandelt.

Konfigurieren

In diesem Abschnitt erfahren Sie, wie Sie die in diesem Dokument beschriebenen Funktionen konfigurieren können.

Hinweis: Die in dieser Konfiguration verwendeten IP-Adressen können nicht legal über das Internet geroutet werden. Es handelt sich dabei um RFC 1918leavingcisco.com-Adressen, die in einer Laborumgebung verwendet werden.

Netzwerkdiagramm

In diesem Dokument wird die folgende Netzwerkeinrichtung verwendet:

pix-dual-isp01.gif

Konfigurationen

In diesem Dokument werden folgende Konfigurationen verwendet:

Hinweis: Verwenden Sie das Tool für die Suche nach Befehlen (nur registrierte Kunden), um weitere Informationen zu den in diesem Abschnitt verwendeten Befehlen zu erhalten.

CLI-Konfiguration

PIX 
pix# show running-config
: Saved
:
PIX Version 7.2(1)
!
hostname pix
domain-name default.domain.invalid
enable password 9jNfZuG3TC5tCVH0 encrypted
names
!
interface Ethernet0
 nameif outside
 security-level 0
 ip address 10.200.159.2 255.255.255.248
!
interface Ethernet1
 nameif backup

!--- The interface attached to the Secondary ISP. !--- "backup" was chosen here, but any name can be assigned.

 security-level 0
 ip address 10.250.250.2 255.255.255.248
!
interface Ethernet2
 nameif inside
 security-level 100
 ip address 172.22.1.163 255.255.255.0
!
interface Ethernet3
 shutdown
 no nameif
 no security-level
 no ip address
!
interface Ethernet4
 shutdown
 no nameif
 no security-level
 no ip address
!
interface Ethernet5
 shutdown
 no nameif
 no security-level
 no ip address
!
passwd 2KFQnbNIdI.2KYOU encrypted
ftp mode passive
dns server-group DefaultDNS
 domain-name default.domain.invalid
pager lines 24
logging enable
logging buffered debugging
mtu outside 1500
mtu backup 1500
mtu inside 1500
no failover
asdm image flash:/asdm521.bin
no asdm history enable
arp timeout 14400

global (outside) 1 interface
global (backup) 1 interface
nat (inside) 1 172.16.1.0 255.255.255.0

!--- NAT Configuration for Outside and Backup

route outside 0.0.0.0 0.0.0.0 10.200.159.1 1 track 1

!--- Enter this command in order to track a static route. !--- This is the static route to be installed in the routing !--- table while the tracked object is reachable. The value after !--- the keyword "track" is a tracking ID you specify. 

route backup 0.0.0.0 0.0.0.0 10.250.250.1 254

!--- Define the backup route to use when the tracked object is unavailable. !--- The administrative distance of the backup route must be greater than !--- the administrative distance of the tracked route. !--- If the primary gateway is unreachable, that route is removed !--- and the backup route is installed in the routing table !--- instead of the tracked route. 

timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
username cisco password ffIRPGpDSOJh9YLq encrypted
http server enable
http 172.22.1.0 255.255.255.0 inside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart

sla monitor 123
 type echo protocol ipIcmpEcho 10.0.0.1 interface outside
 num-packets 3
 frequency 10

!--- Configure a new monitoring process with the ID 123. Specify the !--- monitoring protocol and the target network object whose availability the tracking !--- process monitors. Specify the number of packets to be sent with each poll. !--- Specify the rate at which the monitor process repeats (in seconds).

sla monitor schedule 123 life forever start-time now

!--- Schedule the monitoring process. In this case the lifetime !--- of the process is specified to be forever. The process is scheduled to begin !--- at the time this command is entered. As configured, this command allows the !--- monitoring configuration specified above to determine how often the testing !--- occurs. However, you can schedule this monitoring process to begin in the !--- future and to only occur at specified times.

!
track 1 rtr 123 reachability

!--- Associate a tracked static route with the SLA monitoring process. !--- The track ID corresponds to the track ID given to the static route to monitor: !--- route outside 0.0.0.0 0.0.0.0 10.0.0.2 1 track 1 !--- "rtr" = Response Time Reporter entry. 123 is the ID of the SLA process !--- defined above. 

telnet timeout 5
ssh timeout 5
console timeout 0
!
class-map inspection_default
 match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
 parameters
  message-length maximum 512
policy-map global_policy
 class inspection_default
  inspect dns preset_dns_map
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect netbios
  inspect rsh
  inspect rtsp
  inspect skinny
  inspect esmtp
  inspect sqlnet
  inspect sunrpc
  inspect tftp
  inspect sip
  inspect xdmcp
!
service-policy global_policy global
prompt hostname context
Cryptochecksum:a4a0e9be4593ad43bc17a1cc25e32dc2
: end

ASDM-Konfiguration

Führen Sie die folgenden Schritte aus, um die redundante oder Backup-ISP-Unterstützung mit der ASDM-Anwendung zu konfigurieren:

  1. Klicken Sie in der ASDM-Anwendung auf Konfiguration und dann auf Schnittstellen.

    pix-dual-isp02.gif

  2. Wählen Sie in der Liste Interfaces (Schnittstellen) die Option Ethernet0 aus, und klicken Sie dann auf Edit (Bearbeiten).

    Dieses Dialogfeld wird angezeigt.

    pix-dual-isp03.gif

  3. Aktivieren Sie das Kontrollkästchen Schnittstelle aktivieren, und geben Sie Werte in die Felder Schnittstellenname, Sicherheitsstufe, IP-Adresse und Subnetzmaske ein.

  4. Klicken Sie auf OK, um das Dialogfeld zu schließen.

  5. Konfigurieren Sie ggf. weitere Schnittstellen, und klicken Sie auf Apply, um die Konfiguration der Security Appliance zu aktualisieren.

    pix-dual-isp04.gif

  6. Klicken Sie links in der ASDM-Anwendung auf Routing.

    pix-dual-isp05.gif

  7. Klicken Sie auf Hinzufügen, um die neuen statischen Routen hinzuzufügen.

    Dieses Dialogfeld wird angezeigt.

    pix-dual-isp06.gif

  8. Wählen Sie aus der Dropdown-Liste "Interface Name" (Schnittstellenname) die Schnittstelle aus, auf der die Route gespeichert ist, und konfigurieren Sie die Standardroute, um das Gateway zu erreichen. In diesem Beispiel ist 10.0.0.1 das primäre ISP-Gateway und das Objekt, das mit ICMP-Echos überwacht werden soll.

  9. Klicken Sie im Bereich Options (Optionen) auf das Optionsfeld Tracked (Nachverfolgt), und geben Sie Werte in die Felder Track ID (Nachverfolgungs-ID), SLA ID (SLA-ID) und Track IP Address (IP-Nachverfolgungsadresse) ein.

  10. Klicken Sie auf Überwachungsoptionen.

    Dieses Dialogfeld wird angezeigt.

    pix-dual-isp07.gif

  11. Geben Sie Werte für die Häufigkeit und andere Überwachungsoptionen ein, und klicken Sie auf OK.

  12. Fügen Sie eine weitere statische Route für den sekundären ISP hinzu, um eine Route zum Internet bereitzustellen.

    Konfigurieren Sie diese Route mit einer höheren Metrik, z. B. 254, um sie zu einer sekundären Route zu machen. Wenn die primäre Route (primärer ISP) ausfällt, wird diese Route aus der Routing-Tabelle entfernt. Diese sekundäre Route (sekundärer ISP) wird stattdessen in der PIX-Routing-Tabelle installiert.

  13. Klicken Sie auf OK, um das Dialogfeld zu schließen.

    pix-dual-isp08.gif

    Die Konfigurationen werden in der Schnittstellenliste angezeigt.

    pix-dual-isp09.gif

  14. Wählen Sie die Routing-Konfiguration aus, und klicken Sie auf Apply, um die Konfiguration der Security Appliance zu aktualisieren.

Überprüfung

Nutzen Sie diesen Abschnitt, um zu überprüfen, ob Ihre Konfiguration ordnungsgemäß funktioniert.

Bestätigen des Abschlusses der Konfiguration

Verwenden Sie die Befehle show (Anzeigen), um sicherzustellen, dass die Konfiguration abgeschlossen ist.

Das Output Interpreter-Tool (OIT) (nur registrierte Kunden) unterstützt bestimmte show-Befehle. Verwenden Sie das OIT, um eine Analyse der show-Befehlsausgabe anzuzeigen.

  • show running-config sla monitor: Zeigt die SLA-Befehle in der Konfiguration an.

    pix# show running-config sla monitor
sla monitor 123
 type echo protocol ipIcmpEcho 10.0.0.1 interface outside
 num-packets 3
 frequency 10
sla monitor schedule 123 life forever start-time now

  • show sla monitor configuration - Zeigt die aktuellen Konfigurationseinstellungen des Vorgangs an. 

    pix# show sla monitor configuration 123
IP SLA Monitor, Infrastructure Engine-II.
Entry number: 123
Owner:
Tag:
Type of operation to perform: echo
Target address: 10.0.0.1
Interface: outside
Number of packets: 3
Request size (ARR data portion): 28
Operation timeout (milliseconds): 5000
Type Of Service parameters: 0x0
Verify data: No
Operation frequency (seconds): 10
Next Scheduled Start Time: Start Time already passed
Group Scheduled : FALSE
Life (seconds): Forever
Entry Ageout (seconds): never
Recurring (Starting Everyday): FALSE
Status of entry (SNMP RowStatus): Active
Enhanced History:

  • show sla monitor operating-state (SLA-Überwachungsbetriebsstatus anzeigen): Zeigt die Betriebsstatistiken des SLA-Vorgangs an.

    • Bevor der primäre ISP ausfällt, ist dies der Betriebszustand:

      pix# show sla monitor operational-state 123
Entry number: 123
Modification time: 13:59:37.824 UTC Thu Oct 12 2006
Number of Octets Used by this Entry: 1480
Number of operations attempted: 367
Number of operations skipped: 0
Current seconds left in Life: Forever
Operational state of entry: Active
Last time this entry was reset: Never
Connection loss occurred: FALSE
Timeout occurred: FALSE
Over thresholds occurred: FALSE
Latest RTT (milliseconds): 1
Latest operation start time: 15:00:37.825 UTC Thu Oct 12 2006
Latest operation return code: OK
RTT Values:
RTTAvg: 1       RTTMin: 1       RTTMax: 1
NumOfRTT: 3     RTTSum: 3       RTTSum2: 3

    • Wenn der primäre ISP ausfällt (und das ICMP-Echos-Timeout auftritt), ist dies der Betriebszustand:

      pix# show sla monitor operational-state
Entry number: 123
Modification time: 13:59:37.825 UTC Thu Oct 12 2006
Number of Octets Used by this Entry: 1480
Number of operations attempted: 385
Number of operations skipped: 0
Current seconds left in Life: Forever
Operational state of entry: Active
Last time this entry was reset: Never
Connection loss occurred: FALSE
Timeout occurred: TRUE
Over thresholds occurred: FALSE
Latest RTT (milliseconds): NoConnection/Busy/Timeout
Latest operation start time: 15:03:27.825 UTC Thu Oct 12 2006
Latest operation return code: Timeout
RTT Values:
RTTAvg: 0       RTTMin: 0       RTTMax: 0
NumOfRTT: 0     RTTSum: 0       RTTSum2: 0

Bestätigen der Installation der Backup-Route (CLI-Methode)

Verwenden Sie den Befehl show route, um zu bestimmen, wann die Backup-Route installiert wird.

  • Bevor der primäre ISP ausfällt, ist dies die Routing-Tabelle:

    pix# show route

Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
       i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
       * - candidate default, U - per-user static route, o - ODR
       P - periodic downloaded static route

Gateway of last resort is 10.200.159.1 to network 0.0.0.0

S    64.101.0.0 255.255.0.0 [1/0] via 172.22.1.1, inside
C    172.22.1.0 255.255.255.0 is directly connected, inside
C    10.250.250.0 255.255.255.248 is directly connected, backup
C    10.200.159.0 255.255.255.248 is directly connected, outside
S*   0.0.0.0 0.0.0.0 [1/0] via 10.200.159.1, outside

  • Wenn der primäre ISP ausfällt, wird die statische Route entfernt und die Backup-Route installiert. Dies ist die Routing-Tabelle:

    pix(config)# show route

Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
       i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
       * - candidate default, U - per-user static route, o - ODR
       P - periodic downloaded static route

Gateway of last resort is 10.250.250.1 to network 0.0.0.0

S    64.101.0.0 255.255.0.0 [1/0] via 172.22.1.1, inside
C    172.22.1.0 255.255.255.0 is directly connected, inside
C    10.250.250.0 255.255.255.248 is directly connected, backup
C    10.200.159.0 255.255.255.248 is directly connected, outside
S*   0.0.0.0 0.0.0.0 [254/0] via 10.250.250.1, backup

Bestätigen der Installation der Backup-Route (ASDM-Methode)

Führen Sie die folgenden Schritte aus, um mit dem ASDM zu bestätigen, dass die Backup-Route installiert ist:

  1. Klicken Sie auf Überwachung und dann auf Routing.

  2. Wählen Sie im Routing-Baum Routes (Routen).

    • Bevor der primäre ISP ausfällt, ist dies die Routing-Tabelle:

      pix-dual-isp10.gif

      Die STANDARDROUTE verweist auf 10.0.0.2 über die externe Schnittstelle.

    • Wenn der primäre ISP ausfällt, wird die Route entfernt, und die Backup-Route wird installiert. Die STANDARDROUTE verweist nun über die Backup-Schnittstelle auf 10.250.250.1.

      pix-dual-isp11.gif

Fehlerbehebung

Debug-Befehle

  • debug sla monitor trace: Zeigt den Fortschritt des Echovorgangs an.

    • Das verfolgte Objekt (primäres ISP-Gateway) ist aktiv, und die ICMP-Echos sind erfolgreich.

      IP SLA Monitor(123) Scheduler: Starting an operation
IP SLA Monitor(123) echo operation: Sending an echo operation
IP SLA Monitor(123) echo operation: RTT=3 OK
IP SLA Monitor(123) echo operation: RTT=3 OK
IP SLA Monitor(123) echo operation: RTT=4 OK
IP SLA Monitor(123) Scheduler: Updating result

    • Das verfolgte Objekt (primäres ISP-Gateway) ist ausgefallen, und ICMP-Echos schlagen fehl.

      IP SLA Monitor(123) Scheduler: Starting an operation
IP SLA Monitor(123) echo operation: Sending an echo operation
IP SLA Monitor(123) echo operation: Timeout
IP SLA Monitor(123) echo operation: Timeout
IP SLA Monitor(123) echo operation: Timeout
IP SLA Monitor(123) Scheduler: Updating result

  • debug sla monitor error (SLA-Überwachungsfehler): Zeigt Fehler an, die beim SLA-Überwachungsprozess auftreten.

    • Das verfolgte Objekt (primäres ISP-Gateway) ist aktiv, und ICMP ist erfolgreich.

      %PIX-7-609001: Built local-host NP Identity Ifc:10.200.159.2
%PIX-7-609001: Built local-host outside:10.0.0.1
%PIX-6-302020: Built ICMP connection for faddr 10.0.0.1/0 gaddr 
               10.200.159.2/52696 laddr 10.200.159.2/52696
%PIX-6-302021: Teardown ICMP connection for faddr 10.0.0.1/0 gaddr 
               10.200.159.2/52696 laddr 10.200.159.2/52696
%PIX-7-609002: Teardown local-host NP Identity Ifc:10.200.159.2 duration 
               0:00:00
%PIX-7-609002: Teardown local-host outside:10.0.0.1 duration 0:00:00
%PIX-7-609001: Built local-host NP Identity Ifc:10.200.159.2
%PIX-7-609001: Built local-host outside:10.0.0.1
%PIX-6-302020: Built ICMP connection for faddr 10.0.0.1/0 gaddr 
               0.200.159.2/52697 laddr 10.200.159.2/52697
%PIX-6-302021: Teardown ICMP connection for faddr 10.0.0.1/0 gaddr 
               10.200.159.2/52697 laddr 10.200.159.2/52697
%PIX-7-609002: Teardown local-host NP Identity Ifc:10.200.159.2 
               duration 0:00:00
%PIX-7-609002: Teardown local-host outside:10.0.0.1 duration 0:00:00

    • Das verfolgte Objekt (primäres ISP-Gateway) ist ausgefallen, und die verfolgte Route wird entfernt.

      %PIX-7-609001: Built local-host NP Identity Ifc:10.200.159.2
%PIX-7-609001: Built local-host outside:10.0.0.1
%PIX-6-302020: Built ICMP connection for faddr 10.0.0.1/0 gaddr 
               10.200.159.2/6405 laddr 10.200.159.2/6405
%PIX-6-302020: Built ICMP connection for faddr 10.0.0.1/0 gaddr  
               10.200.159.2/6406 laddr 10.200.159.2/6406
%PIX-6-302020: Built ICMP connection for faddr 10.0.0.1/0 gaddr  
               10.200.159.2/6407 laddr 10.200.159.2/6407
%PIX-6-302021: Teardown ICMP connection for faddr 10.0.0.1/0 gaddr  
               10.200.159.2/6405 laddr 10.200.159.2/6405
%PIX-6-302021: Teardown ICMP connection for faddr 10.0.0.1/0 gaddr  
               10.200.159.2/6406 laddr 10.200.159.2/6406
%PIX-6-302021: Teardown ICMP connection for faddr 10.0.0.1/0 gaddr  
               10.200.159.2/6407 laddr 10.200.159.2/6407
%PIX-7-609002: Teardown local-host NP Identity Ifc:10.200.159.2 
               duration 0:00:02
%PIX-7-609002: Teardown local-host outside:10.0.0.1 duration 0:00:02
%PIX-6-622001: Removing tracked route 0.0.0.0 0.0.0.0 10.200.159.1,  
               distance 1, table Default-IP-Routing-Table, on interface 
               outside

!--- 10.0.0.1 is unreachable, so the route to the Primary ISP is removed.

Übertragene Route wird unnötig entfernt

Wenn die verfolgte Route unnötig entfernt wird, stellen Sie sicher, dass Ihr Überwachungsziel immer verfügbar ist, um Echo-Anfragen zu empfangen. Stellen Sie außerdem sicher, dass der Status des Überwachungsziels (d. h., ob das Ziel erreichbar ist oder nicht) eng mit dem Status der primären ISP-Verbindung verknüpft ist.

Wenn Sie ein Überwachungsziel wählen, das weiter entfernt ist als das ISP-Gateway, kann eine andere Verbindung entlang dieser Route fehlschlagen, oder ein anderes Gerät kann sich störend auswirken. Diese Konfiguration kann dazu führen, dass der SLA-Monitor den Schluss zieht, dass die Verbindung zum primären ISP fehlgeschlagen ist, und dass die Sicherheits-Appliance unnötigerweise ein Failover zur sekundären ISP-Verbindung durchführt.

Wenn Sie z. B. einen Zweigstellen-Router als Überwachungsziel auswählen, kann die ISP-Verbindung mit der Zweigstelle sowie jede andere Verbindung auf dem Weg dorthin fehlschlagen. Wenn die vom Überwachungsvorgang gesendeten ICMP-Echos ausfallen, wird die primäre verfolgte Route entfernt, obwohl die primäre ISP-Verbindung noch aktiv ist.

In diesem Beispiel wird das primäre ISP-Gateway, das als Überwachungsziel verwendet wird, vom ISP verwaltet und befindet sich auf der anderen Seite der ISP-Verbindung. Mit dieser Konfiguration wird sichergestellt, dass bei einem Ausfall der ICMP-Echos, die von der Überwachung gesendet werden, die ISP-Verbindung fast mit Sicherheit nicht verfügbar ist.

SLA-Überwachung auf ASA

Problem:

Die SLA-Überwachung funktioniert nicht, nachdem die ASA auf Version 8.0 aktualisiert wurde.

Lösung:

Das Problem ist möglicherweise auf den Befehl IP Reverse-Path zurückzuführen, der in der OUTSIDE-Schnittstelle konfiguriert wurde. Entfernen Sie den Befehl in ASA, und versuchen Sie, die SLA-Überwachung zu überprüfen.

Zugehörige Informationen

Revisionsverlauf

Überarbeitung Veröffentlichungsdatum Kommentare
1.0
26-Jun-2006
Erstveröffentlichung

War dieses Dokument hilfreich?

FeedbackFeedback

Cisco kontaktieren

Dieses Dokument gilt für folgende Produkte.