ASA/PIX 7.x：冗長またはバックアップISPリンクの設定例

ダウンロードオプション

PDF (582.1 KB)
Adobe Reader を使ってさまざまなデバイスで表示
ePub (311.3 KB)
iPhone、iPad、Android、ソニーの Reader、または Windows Phone 上で、さまざまなアプリを使って表示
Mobi (Kindle) (472.9 KB)
Kindle デバイスで、または Kindle アプリを使って複数のデバイスで表示

Updated: 2008 年 10 月 13 日

Document ID:70559

偏向のない言語

この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージの取り組みの詳細は、こちらをご覧ください。

翻訳について

シスコは世界中のユーザにそれぞれの言語でサポートコンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版（リンクからアクセス可能）もあわせて参照することを推奨します。

内容

はじめに

前提条件

要件

使用するコンポーネント

はじめに

スタティックルートには、ルートがアップ状態かダウン状態かを判別するためのメカニズムが備わっていないという問題があります。ネクストホップゲートウェイが使用不能になっても、ルートはルーティングテーブルに存在し続けます。スタティックルートがルーティングテーブルから削除されるのは、セキュリティアプライアンス上の関連付けられているインターフェイスがダウンした場合だけです。この問題を解決するために、スタティックルートトラッキング機能を使用してスタティックルートが使用可能かどうかをトラッキングし、ルートに障害が発生した場合はそのルートをルーティングテーブルから削除してバックアップルートに置き換えます。

このドキュメントでは、PIX 500 シリーズセキュリティアプライアンスまたは ASA 5500 シリーズ適応型セキュリティアプライアンスでスタティックルートトラッキングを使用して冗長インターネット接続またはバックアップインターネット接続を有効にする方法の例を紹介します。この例では、スタティックルートトラッキングを使用することで、プライマリ専用回線が使用不能になった場合でも、セキュリティアプライアンスからセカンダリインターネットサービスプロバイダー（ISP）へ安価な接続を使用できるようにします。

この冗長性を実現するために、セキュリティアプライアンスでモニタリングターゲットと定義済みのスタティックルートとを関連付けます。サービスレベル契約（SLA）動作が定期的にインターネット制御メッセージプロトコル（ICMP）エコー要求を送信してターゲットをモニタします。エコー応答がない場合は、そのオブジェクトはダウンしていると見なされ、関連付けられているルートがルーティングテーブルから削除されます。そして、削除されたルートに代わって、すでに定義されているバックアップルートが使用されます。バックアップルートが使用されている間も、SLA モニタ動作はモニタリングターゲットへの到達を試行し続けます。再度、ターゲットに到達できるようになると、最初のルートがルーティングテーブルに置き換えられ、バックアップルートは削除されます。

注：このドキュメントで説明する設定は、ASA/PIXではサポートされていないため、ロードバランシングまたはロードシェアリングには使用できません（ASAまたはPIXによるロードバランシングはサポートされていません）。この設定は冗長化またはバックアップの用途にだけ使用してください。発信トラフィックはプライマリ ISP を使用し、プライマリ ISP に障害が発生した場合はセカンダリ ISP を使用します。プライマリ ISP に障害が発生すると、一時的にトラフィックが中断されます。

前提条件

要件

ICMP エコー要求に応答できるモニタリングターゲットを選択します。任意のネットワークオブジェクトをターゲットとして選択できますが、ISP 接続と緊密に結びついているオブジェクトをターゲットにすることを推奨します。モニタリングターゲットにできるオブジェクトの例を示します。

ISP ゲートウェイアドレス
別の ISP-managed アドレス
別のネットワーク上にあり、セキュリティアプライアンスが通信する必要のあるサーバ（AAA サーバなど）
別のネットワーク上で常時稼働している永続ネットワークオブジェクト（夜間にシャットダウンされる可能性があるデスクトップコンピュータやノートパソコンは推奨しません）

このドキュメントでは、セキュリティアプライアンスが完全に動作していて、Cisco ASDM で設定を変更できるように設定されていることを前提としています。

注：デバイスの設定をASDMで変更できるようにする方法については、『ASDM用のHTTPSアクセスの許可』を参照してください。

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づいています。

ソフトウェアバージョン 7.2(1) 以降がインストールされた Cisco PIX セキュリティアプライアンス 515E
Cisco Adaptive Security Device Manager 5.2(1) 以降

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな（デフォルト）設定で作業を開始しています。対象のネットワークが実稼働中である場合には、どのようなコマンドについても、その潜在的な影響について確実に理解しておく必要があります。

表記法

ドキュメント表記の詳細は、『シスコテクニカルティップスの表記法』を参照してください。

背景説明

この例では、セキュリティアプライアンスからインターネットへの接続を 2 つ保持しています。1 つ目の接続は高速専用回線です。この回線には、プライマリ ISP のルータを経由してアクセスします。2 つ目の接続は低速デジタル加入者線（DSL）です。この回線には、セカンダリ ISP の DSL モデムを経由してアクセスします。

注：この例では、ロードバランシングは行われません。

専用回線がアクティブでプライマリ ISP ゲートウェイが到達可能である限り、DSL 接続はアイドル状態となります。ただし、プライマリ ISP への接続がダウンすると、セキュリティアプライアンスのルーティングテーブルが変更され、トラフィックは DSL 接続に転送されるようになります。スタティックルートトラッキングは、こうした冗長性を実現するために使用されます。

セキュリティアプライアンスの設定には、すべてのインターネットトラフィックをプライマリ ISP に転送するスタティックルートを使用します。プライマリ ISP ゲートウェイが到達可能かどうかは、SLA モニタプロセスを使用して 10 秒間隔で確認します。プライマリ ISP ゲートウェイに到達不能であると SLA モニタプロセスが判定すると、そのインターフェイスにトラフィックを転送するスタティックルートはルーティングテーブルから削除されます。このスタティックルートを置き換えるために、セカンダリ ISP にトラフィックを転送する代替スタティックルートがインストールされます。この代替スタティックルートは、プライマリ ISP へのリンクが到達可能になるまで、DSL モデム経由でセカンダリ ISP にトラフィックを転送します。

この設定を使用すると、セキュリティアプライアンスの背後にいるユーザがインターネットに発信アクセスができる状態を比較的安価に維持できます。このドキュメントで説明したとおり、この設定は、セキュリティアプライアンスの背後にあるリソースへの着信アクセスには適していない可能性があります。シームレスな着信接続を実現するには、高度なネットワーキングスキルが必要です。そうしたスキルについては、このドキュメントでは説明していません。

設定

このセクションでは、このドキュメントで説明する機能を設定するために必要な情報を提供しています。

注：この設定で使用するIPアドレスは、インターネット上で正式にルーティング可能なものではありません。これらは RFC 1918 でのアドレスであり、ラボ環境で使用されているものです。

ネットワーク図

このドキュメントでは、次のネットワークセットアップを使用します。

コンフィギュレーション

このドキュメントでは、次のコンフィギュレーションを使用します。

コマンドラインインターフェイス（CLI）
Adaptive Security Device Manager（ASDM）

注：このセクションで使用されているコマンドの詳細を調べるには、Command Lookup Tool（登録ユーザ専用）を参照してください。一部ツールについては、ゲスト登録のお客様にはアクセスできない場合がありますことをご了承ください。

CLI での設定

PIX
pix# show running-config : Saved : PIX Version 7.2(1) ! hostname pix domain-name default.domain.invalid enable password 9jNfZuG3TC5tCVH0 encrypted names ! interface Ethernet0 nameif outside security-level 0 ip address 10.200.159.2 255.255.255.248 ! interface Ethernet1 nameif backup !--- The interface attached to the Secondary ISP. !--- "backup" was chosen here, but any name can be assigned. security-level 0 ip address 10.250.250.2 255.255.255.248 ! interface Ethernet2 nameif inside security-level 100 ip address 172.22.1.163 255.255.255.0 ! interface Ethernet3 shutdown no nameif no security-level no ip address ! interface Ethernet4 shutdown no nameif no security-level no ip address ! interface Ethernet5 shutdown no nameif no security-level no ip address ! passwd 2KFQnbNIdI.2KYOU encrypted ftp mode passive dns server-group DefaultDNS domain-name default.domain.invalid pager lines 24 logging enable logging buffered debugging mtu outside 1500 mtu backup 1500 mtu inside 1500 no failover asdm image flash:/asdm521.bin no asdm history enable arp timeout 14400 global (outside) 1 interface global (backup) 1 interface nat (inside) 1 172.16.1.0 255.255.255.0 !--- NAT Configuration for Outside and Backup route outside 0.0.0.0 0.0.0.0 10.200.159.1 1 track 1 !--- Enter this command in order to track a static route. !--- This is the static route to be installed in the routing !--- table while the tracked object is reachable. The value after !--- the keyword "track" is a tracking ID you specify. route backup 0.0.0.0 0.0.0.0 10.250.250.1 254 !--- Define the backup route to use when the tracked object is unavailable. !--- The administrative distance of the backup route must be greater than !--- the administrative distance of the tracked route. !--- If the primary gateway is unreachable, that route is removed !--- and the backup route is installed in the routing table !--- instead of the tracked route. timeout xlate 3:00:00 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00 timeout uauth 0:05:00 absolute username cisco password ffIRPGpDSOJh9YLq encrypted http server enable http 172.22.1.0 255.255.255.0 inside no snmp-server location no snmp-server contact snmp-server enable traps snmp authentication linkup linkdown coldstart sla monitor 123 type echo protocol ipIcmpEcho 10.0.0.1 interface outside num-packets 3 frequency 10 !--- Configure a new monitoring process with the ID 123. Specify the !--- monitoring protocol and the target network object whose availability the tracking !--- process monitors. Specify the number of packets to be sent with each poll. !--- Specify the rate at which the monitor process repeats (in seconds). sla monitor schedule 123 life forever start-time now !--- Schedule the monitoring process. In this case the lifetime !--- of the process is specified to be forever. The process is scheduled to begin !--- at the time this command is entered. As configured, this command allows the !--- monitoring configuration specified above to determine how often the testing !--- occurs. However, you can schedule this monitoring process to begin in the !--- future and to only occur at specified times. ! track 1 rtr 123 reachability !--- Associate a tracked static route with the SLA monitoring process. !--- The track ID corresponds to the track ID given to the static route to monitor: !--- route outside 0.0.0.0 0.0.0.0 10.0.0.2 1 track 1 !--- "rtr" = Response Time Reporter entry. 123 is the ID of the SLA process !--- defined above. telnet timeout 5 ssh timeout 5 console timeout 0 ! class-map inspection_default match default-inspection-traffic ! ! policy-map type inspect dns preset_dns_map parameters message-length maximum 512 policy-map global_policy class inspection_default inspect dns preset_dns_map inspect ftp inspect h323 h225 inspect h323 ras inspect netbios inspect rsh inspect rtsp inspect skinny inspect esmtp inspect sqlnet inspect sunrpc inspect tftp inspect sip inspect xdmcp ! service-policy global_policy global prompt hostname context Cryptochecksum:a4a0e9be4593ad43bc17a1cc25e32dc2 : end

PIX

pix# show running-config
: Saved
:
PIX Version 7.2(1)
!
hostname pix
domain-name default.domain.invalid
enable password 9jNfZuG3TC5tCVH0 encrypted
names
!
interface Ethernet0
 nameif outside
 security-level 0
 ip address 10.200.159.2 255.255.255.248
!
interface Ethernet1
 nameif backup

!--- The interface attached to the Secondary ISP. !--- "backup" was chosen here, but any name can be assigned.

 security-level 0
 ip address 10.250.250.2 255.255.255.248
!
interface Ethernet2
 nameif inside
 security-level 100
 ip address 172.22.1.163 255.255.255.0
!
interface Ethernet3
 shutdown
 no nameif
 no security-level
 no ip address
!
interface Ethernet4
 shutdown
 no nameif
 no security-level
 no ip address
!
interface Ethernet5
 shutdown
 no nameif
 no security-level
 no ip address
!
passwd 2KFQnbNIdI.2KYOU encrypted
ftp mode passive
dns server-group DefaultDNS
 domain-name default.domain.invalid
pager lines 24
logging enable
logging buffered debugging
mtu outside 1500
mtu backup 1500
mtu inside 1500
no failover
asdm image flash:/asdm521.bin
no asdm history enable
arp timeout 14400

global (outside) 1 interface
global (backup) 1 interface
nat (inside) 1 172.16.1.0 255.255.255.0

!--- NAT Configuration for Outside and Backup

route outside 0.0.0.0 0.0.0.0 10.200.159.1 1 track 1

!--- Enter this command in order to track a static route. !--- This is the static route to be installed in the routing !--- table while the tracked object is reachable. The value after !--- the keyword "track" is a tracking ID you specify. 

route backup 0.0.0.0 0.0.0.0 10.250.250.1 254

!--- Define the backup route to use when the tracked object is unavailable. !--- The administrative distance of the backup route must be greater than !--- the administrative distance of the tracked route. !--- If the primary gateway is unreachable, that route is removed !--- and the backup route is installed in the routing table !--- instead of the tracked route. 

timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
username cisco password ffIRPGpDSOJh9YLq encrypted
http server enable
http 172.22.1.0 255.255.255.0 inside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart

sla monitor 123
 type echo protocol ipIcmpEcho 10.0.0.1 interface outside
 num-packets 3
 frequency 10

!--- Configure a new monitoring process with the ID 123. Specify the !--- monitoring protocol and the target network object whose availability the tracking !--- process monitors. Specify the number of packets to be sent with each poll. !--- Specify the rate at which the monitor process repeats (in seconds).

sla monitor schedule 123 life forever start-time now

!--- Schedule the monitoring process. In this case the lifetime !--- of the process is specified to be forever. The process is scheduled to begin !--- at the time this command is entered. As configured, this command allows the !--- monitoring configuration specified above to determine how often the testing !--- occurs. However, you can schedule this monitoring process to begin in the !--- future and to only occur at specified times.

!
track 1 rtr 123 reachability

!--- Associate a tracked static route with the SLA monitoring process. !--- The track ID corresponds to the track ID given to the static route to monitor: !--- route outside 0.0.0.0 0.0.0.0 10.0.0.2 1 track 1 !--- "rtr" = Response Time Reporter entry. 123 is the ID of the SLA process !--- defined above. 

telnet timeout 5
ssh timeout 5
console timeout 0
!
class-map inspection_default
 match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
 parameters
  message-length maximum 512
policy-map global_policy
 class inspection_default
  inspect dns preset_dns_map
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect netbios
  inspect rsh
  inspect rtsp
  inspect skinny
  inspect esmtp
  inspect sqlnet
  inspect sunrpc
  inspect tftp
  inspect sip
  inspect xdmcp
!
service-policy global_policy global
prompt hostname context
Cryptochecksum:a4a0e9be4593ad43bc17a1cc25e32dc2
: end

ASDM の設定

ASDM アプリケーションを使用して冗長 ISP サポートまたはバックアップ ISP サポートを設定するには、次の手順を実行します。

ASDM アプリケーションで [Configuration] をクリックし、続いて [Interfaces] をクリックします。
インターフェイスのリストから [Ethernet0] を選択して [Edit] をクリックします。

次のダイアログボックスが表示されます。
[Enable Interface] チェックボックスをオンにして、[Interface Name]、[Security Level]、[IP Address]、[Subnet Mask] の各フィールドに値を入力します。
[OK] をクリックしてダイアログボックスを閉じます。
必要に応じて他のインターフェイスを設定し、[Apply] をクリックしてセキュリティアプライアンスの設定を更新します。
ASDM アプリケーションの左側にある [Routing] をクリックします。
[Add] をクリックして、新しいスタティックルートを追加します。

次のダイアログボックスが表示されます。
ルートが存在するインターフェイスを [Interface Name] ドロップダウンリストから選択し、ゲートウェイに到達するためのデフォルトルートを設定します。この例では、10.0.0.1 がプライマリ ISP ゲートウェイであり、ICMP エコーを使用してモニタするオブジェクトでもあります。
[Options] エリアで [Tracked] オプションボタンをクリックし、[Track ID]、[SLA ID]、[Track IP Address] の各フィールドに値を入力します。
[Monitoring Options] をクリックします。

次のダイアログボックスが表示されます。
モニタの頻度とその他のモニタリングオプションを設定し、[OK] をクリックします。
セカンダリ ISP への別のスタティックルートを追加し、インターネットに到達するためのルートを用意します。

これをセカンダリルートにするために、このルートの設定には 254 などのより高いメトリックを使用します。プライマリルート（プライマリ ISP）に障害が発生すると、このルートはルーティングテーブルから削除され、代わりにこのセカンダリルート（セカンダリ ISP）が PIX のルーティングテーブルにインストールされます。
[OK] をクリックしてダイアログボックスを閉じます。

インターフェイスリストに設定が表示されます。
ルーティング設定を選択して [Apply] をクリックして、セキュリティアプライアンスの設定を更新します。

確認

このセクションでは、設定が正常に動作していることを確認します。

設定が完了しているかどうかの確認

次の show コマンドを使用して、設定が完了しているかどうかを確認します。

Output Interpreter Tool（OIT）（登録ユーザ専用）では、特定の show コマンドがサポートされています。OIT を使用して show コマンド出力の解析を表示します。

show running-config sla monitor：設定に含まれる SLA コマンドを表示します。

pix# show running-config sla monitor
sla monitor 123
 type echo protocol ipIcmpEcho 10.0.0.1 interface outside
 num-packets 3
 frequency 10
sla monitor schedule 123 life forever start-time now

show sla monitor configuration：動作に関する現在の設定を表示します。

pix# show sla monitor configuration 123
IP SLA Monitor, Infrastructure Engine-II.
Entry number: 123
Owner:
Tag:
Type of operation to perform: echo
Target address: 10.0.0.1
Interface: outside
Number of packets: 3
Request size (ARR data portion): 28
Operation timeout (milliseconds): 5000
Type Of Service parameters: 0x0
Verify data: No
Operation frequency (seconds): 10
Next Scheduled Start Time: Start Time already passed
Group Scheduled : FALSE
Life (seconds): Forever
Entry Ageout (seconds): never
Recurring (Starting Everyday): FALSE
Status of entry (SNMP RowStatus): Active
Enhanced History:

show sla monitor operational-state：SLA 動作の運用統計情報を表示します。

プライマリ ISP で障害が発生する前の動作ステータスは次のとおりです。

pix# show sla monitor operational-state 123
Entry number: 123
Modification time: 13:59:37.824 UTC Thu Oct 12 2006
Number of Octets Used by this Entry: 1480
Number of operations attempted: 367
Number of operations skipped: 0
Current seconds left in Life: Forever
Operational state of entry: Active
Last time this entry was reset: Never
Connection loss occurred: FALSE
Timeout occurred: FALSE
Over thresholds occurred: FALSE
Latest RTT (milliseconds): 1
Latest operation start time: 15:00:37.825 UTC Thu Oct 12 2006
Latest operation return code: OK
RTT Values:
RTTAvg: 1       RTTMin: 1       RTTMax: 1
NumOfRTT: 3     RTTSum: 3       RTTSum2: 3

プライマリ ISP で障害が発生し、（ICMP エコーがタイムアウト）した後の動作ステータスは次のとおりです。

pix# show sla monitor operational-state
Entry number: 123
Modification time: 13:59:37.825 UTC Thu Oct 12 2006
Number of Octets Used by this Entry: 1480
Number of operations attempted: 385
Number of operations skipped: 0
Current seconds left in Life: Forever
Operational state of entry: Active
Last time this entry was reset: Never
Connection loss occurred: FALSE
Timeout occurred: TRUE
Over thresholds occurred: FALSE
Latest RTT (milliseconds): NoConnection/Busy/Timeout
Latest operation start time: 15:03:27.825 UTC Thu Oct 12 2006
Latest operation return code: Timeout
RTT Values:
RTTAvg: 0       RTTMin: 0       RTTMax: 0
NumOfRTT: 0     RTTSum: 0       RTTSum2: 0

バックアップルートがインストールされているかどうかの確認（CLI を使用する方法）

show route コマンドを使用して、いつバックアップルートがインストールされるか確認します。

プライマリ ISP で障害が発生する前のルーティングテーブルは次のとおりです。

pix# show route

Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
       i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
       * - candidate default, U - per-user static route, o - ODR
       P - periodic downloaded static route

Gateway of last resort is 10.200.159.1 to network 0.0.0.0

S    64.101.0.0 255.255.0.0 [1/0] via 172.22.1.1, inside
C    172.22.1.0 255.255.255.0 is directly connected, inside
C    10.250.250.0 255.255.255.248 is directly connected, backup
C    10.200.159.0 255.255.255.248 is directly connected, outside
S*   0.0.0.0 0.0.0.0 [1/0] via 10.200.159.1, outside

プライマリ ISP で障害が発生した後スタティックルートは削除され、バックアップルートがインストールされます。そのときのルーティングテーブルは次のとおりです。

pix(config)# show route

Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
       i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
       * - candidate default, U - per-user static route, o - ODR
       P - periodic downloaded static route

Gateway of last resort is 10.250.250.1 to network 0.0.0.0

S    64.101.0.0 255.255.0.0 [1/0] via 172.22.1.1, inside
C    172.22.1.0 255.255.255.0 is directly connected, inside
C    10.250.250.0 255.255.255.248 is directly connected, backup
C    10.200.159.0 255.255.255.248 is directly connected, outside
S*   0.0.0.0 0.0.0.0 [254/0] via 10.250.250.1, backup

バックアップルートがインストールされているかどうかの確認（ASDM を使用する方法）

バックアップルートがインストールされているかどうかを ASDM で確認するには、次の手順を実行します。

[Monitoring] をクリックし、次に [Routing] をクリックします。
Routing ツリーから [Routes] を選択します。
- プライマリ ISP で障害が発生する前のルーティングテーブルは次のとおりです。
  
  デフォルトルートは外部インターフェイスを経由して 10.0.0.2 を指しています。
- プライマリ ISP で障害が発生した後このルートは削除され、バックアップルートがインストールされます。デフォルトルートは現在、バックアップインターフェイスを経由して 10.250.250.1 を指しています。

トラブルシュート

デバッグコマンド

debug sla monitor trace：エコー動作の進捗状況を表示します。

トラッキング対象のオブジェクト（プライマリ ISP ゲートウェイ）は起動しているため、ICMP エコーは成功します。

IP SLA Monitor(123) Scheduler: Starting an operation
IP SLA Monitor(123) echo operation: Sending an echo operation
IP SLA Monitor(123) echo operation: RTT=3 OK
IP SLA Monitor(123) echo operation: RTT=3 OK
IP SLA Monitor(123) echo operation: RTT=4 OK
IP SLA Monitor(123) Scheduler: Updating result

トラッキング対象のオブジェクト（プライマリ ISP ゲートウェイ）はダウンしているため、ICMP エコーは失敗します。

IP SLA Monitor(123) Scheduler: Starting an operation
IP SLA Monitor(123) echo operation: Sending an echo operation
IP SLA Monitor(123) echo operation: Timeout
IP SLA Monitor(123) echo operation: Timeout
IP SLA Monitor(123) echo operation: Timeout
IP SLA Monitor(123) Scheduler: Updating result

debug sla monitor error：SLA モニタプロセスで発生したエラーを表示します。

トラッキング対象のオブジェクト（プライマリ ISP ゲートウェイ）は起動しているため、ICMP は成功します。

%PIX-7-609001: Built local-host NP Identity Ifc:10.200.159.2
%PIX-7-609001: Built local-host outside:10.0.0.1
%PIX-6-302020: Built ICMP connection for faddr 10.0.0.1/0 gaddr 
               10.200.159.2/52696 laddr 10.200.159.2/52696
%PIX-6-302021: Teardown ICMP connection for faddr 10.0.0.1/0 gaddr 
               10.200.159.2/52696 laddr 10.200.159.2/52696
%PIX-7-609002: Teardown local-host NP Identity Ifc:10.200.159.2 duration 
               0:00:00
%PIX-7-609002: Teardown local-host outside:10.0.0.1 duration 0:00:00
%PIX-7-609001: Built local-host NP Identity Ifc:10.200.159.2
%PIX-7-609001: Built local-host outside:10.0.0.1
%PIX-6-302020: Built ICMP connection for faddr 10.0.0.1/0 gaddr 
               0.200.159.2/52697 laddr 10.200.159.2/52697
%PIX-6-302021: Teardown ICMP connection for faddr 10.0.0.1/0 gaddr 
               10.200.159.2/52697 laddr 10.200.159.2/52697
%PIX-7-609002: Teardown local-host NP Identity Ifc:10.200.159.2 
               duration 0:00:00
%PIX-7-609002: Teardown local-host outside:10.0.0.1 duration 0:00:00

トラッキング対象のオブジェクト（プライマリ ISP ゲートウェイ）はダウンしているため、トラッキング対象のルートは削除されます。

%PIX-7-609001: Built local-host NP Identity Ifc:10.200.159.2
%PIX-7-609001: Built local-host outside:10.0.0.1
%PIX-6-302020: Built ICMP connection for faddr 10.0.0.1/0 gaddr 
               10.200.159.2/6405 laddr 10.200.159.2/6405
%PIX-6-302020: Built ICMP connection for faddr 10.0.0.1/0 gaddr  
               10.200.159.2/6406 laddr 10.200.159.2/6406
%PIX-6-302020: Built ICMP connection for faddr 10.0.0.1/0 gaddr  
               10.200.159.2/6407 laddr 10.200.159.2/6407
%PIX-6-302021: Teardown ICMP connection for faddr 10.0.0.1/0 gaddr  
               10.200.159.2/6405 laddr 10.200.159.2/6405
%PIX-6-302021: Teardown ICMP connection for faddr 10.0.0.1/0 gaddr  
               10.200.159.2/6406 laddr 10.200.159.2/6406
%PIX-6-302021: Teardown ICMP connection for faddr 10.0.0.1/0 gaddr  
               10.200.159.2/6407 laddr 10.200.159.2/6407
%PIX-7-609002: Teardown local-host NP Identity Ifc:10.200.159.2 
               duration 0:00:02
%PIX-7-609002: Teardown local-host outside:10.0.0.1 duration 0:00:02
%PIX-6-622001: Removing tracked route 0.0.0.0 0.0.0.0 10.200.159.1,  
               distance 1, table Default-IP-Routing-Table, on interface 
               outside

!--- 10.0.0.1 is unreachable, so the route to the Primary ISP is removed.

トラッキング対象のルートが不必要に削除される

トラッキング対象のルートが不必要に削除される場合は、モニタリングターゲットが常にエコー要求を受信できる状態であることを確認します。また、モニタリングターゲットの状態（ターゲットが到達可能であるかどうか）がプライマリ ISP 接続の状態と密接に結び付いていることを確認します。

ISP ゲートウェイより遙かに遠いモニタリングターゲットを選択すると、そのルート上にある別のリンクで障害が発生したり、別のデバイスが干渉する場合があります。この設定が原因で、SLA モニタはプライマリ ISP への接続で障害が発生したと判断し、セキュリティアプライアンスを不必要にセカンダリ ISP リンクにフェールオーバーさせる可能性があります。

たとえば、ブランチオフィスのルータをモニタリングターゲットとして選択すると、ブランチオフィスへの ISP 接続、および途中にある別のリンクで障害が発生する可能性があります。モニタ動作によって送信された ICMP エコーが失敗すると、プライマリ ISP リンクがまだアクティブであっても、トラッキングされていたプライマリルートは削除されます。

この例では、モニタリングターゲットとして使用されているプライマリ ISP ゲートウェイは ISP によって管理され、ISP リンクの反対側に配置されています。この設定では、モニタ動作によって送信された ICMP エコーが失敗すると、ISP リンクはほぼ確実にダウンします。

ASA での SLA モニタリング

問題：

ASA をバージョン 8.0 にアップグレードした後、SLA モニタリングが動作しません。

ソリューション：

この問題の原因は、おそらく IP Reverse-Path コマンドが外部インターフェイスに設定されていることにあります。ASA のコマンドを削除して、SLA モニタリングを確認してみてください。

ASA/PIX 7.x：冗長またはバックアップISPリンクの設定例

ダウンロードオプション

偏向のない言語

翻訳について

内容

はじめに

前提条件

要件

使用するコンポーネント

関連製品

表記法

背景説明

設定

ネットワーク図

コンフィギュレーション

CLI での設定

ASDM の設定

確認

設定が完了しているかどうかの確認

バックアップルートがインストールされているかどうかの確認（CLI を使用する方法）

バックアップルートがインストールされているかどうかの確認（ASDM を使用する方法）

トラブルシュート

デバッグコマンド

トラッキング対象のルートが不必要に削除される

ASA での SLA モニタリング

関連情報

更新履歴

このドキュメントは役に立ちましたか?

シスコに問い合わせ

このドキュメントは次の製品に対応しています

ASA/PIX 7.x：冗長またはバックアップISPリンクの設定例

ダウンロード オプション

偏向のない言語

翻訳について

内容

更新履歴

このドキュメントは役に立ちましたか?

シスコに問い合わせ

このドキュメントは次の製品に対応しています

ダウンロードオプション