본 제품에 대한 문서 세트는 편견 없는 언어를 사용하기 위해 노력합니다. 본 설명서 세트의 목적상, 편견 없는 언어는 나이, 장애, 성별, 인종 정체성, 민족 정체성, 성적 지향성, 사회 경제적 지위 및 교차성에 기초한 차별을 의미하지 않는 언어로 정의됩니다. 제품 소프트웨어의 사용자 인터페이스에서 하드코딩된 언어, RFP 설명서에 기초한 언어 또는 참조된 서드파티 제품에서 사용하는 언어로 인해 설명서에 예외가 있을 수 있습니다. 시스코에서 어떤 방식으로 포용적인 언어를 사용하고 있는지 자세히 알아보세요.
Cisco는 전 세계 사용자에게 다양한 언어로 지원 콘텐츠를 제공하기 위해 기계 번역 기술과 수작업 번역을 병행하여 이 문서를 번역했습니다. 아무리 품질이 높은 기계 번역이라도 전문 번역가의 번역 결과물만큼 정확하지는 않습니다. Cisco Systems, Inc.는 이 같은 번역에 대해 어떠한 책임도 지지 않으며 항상 원본 영문 문서(링크 제공됨)를 참조할 것을 권장합니다.
이 문서에서는 FDM에서 관리하는 FTD에서 IP SLA와 함께 ECMP를 구성하는 방법에 대해 설명합니다.
다음 주제에 대한 지식을 보유하고 있으면 유용합니다.
이 문서의 정보는 다음 소프트웨어 및 하드웨어 버전을 기반으로 합니다.
이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다. 이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다. 현재 네트워크가 작동 중인 경우 모든 명령의 잠재적인 영향을 미리 숙지하시기 바랍니다.
이 문서에서는 Cisco FDM에서 관리하는 Cisco FTD에서 ECMP(Equal-Cost Multi-Path)를 IP SLA(Internet Protocol Service Level Agreement)와 함께 구성하는 방법에 대해 설명합니다. ECMP를 사용하면 FTD에서 인터페이스를 함께 그룹화하고 여러 인터페이스 간에 트래픽을 로드 밸런싱할 수 있습니다. IP SLA는 일반 패킷 교환을 통해 엔드 투 엔드 연결을 모니터링하는 메커니즘입니다. ECMP와 함께 IP SLA를 구현하여 다음 홉의 가용성을 보장할 수 있습니다. 이 예에서는 ECMP를 사용하여 두 ISP(Internet Service Provider) 회로에 패킷을 균등하게 분산시킵니다. 동시에 IP SLA는 연결을 추적하여 장애 발생 시 사용 가능한 회로로의 원활한 전환을 보장합니다.
이 문서의 구체적인 요구 사항은 다음과 같습니다.
이 예에서 Cisco FTD에는 두 개의 외부 인터페이스(outside1 및 outside2)가 있습니다. 각 ISP 게이트웨이에 연결하면 outside1과 outside2는 outside라는 동일한 ECMP 영역에 속합니다.
내부 네트워크의 트래픽은 FTD를 통해 라우팅되고 두 ISP를 통해 인터넷으로 로드 밸런싱됩니다.
동시에 FTD는 각 ISP 게이트웨이에 대한 연결을 모니터링하기 위해 IP SLA를 사용합니다. ISP 회로에 장애가 발생하는 경우 FTD는 다른 ISP 게이트웨이로 장애 조치하여 비즈니스 연속성을 유지합니다.
FDM 웹 GUI에 로그인하고 Device(디바이스)를 클릭한 다음 Interfaces(인터페이스) 요약에서 링크를 클릭합니다. Interfaces 목록은 사용 가능한 인터페이스, 이름, 주소 및 상태를 표시합니다.
수정하려는 물리적 인터페이스의 수정 아이콘()을 클릭합니다. 이 예에서는 GigabitEthernet0/1입니다.
Edit Physical Interface(물리적 인터페이스 편집) 창에서
참고: 라우티드 인터페이스만 ECMP 영역과 연결할 수 있습니다.
유사한 단계를 반복하여 보조 ISP 연결을 위한 인터페이스를 구성합니다. 이 예에서 물리적 인터페이스는 GigabitEthernet0/2입니다. Edit Physical Interface(물리적 인터페이스 편집) 창에서
유사한 단계를 반복하여 내부 연결을 위한 인터페이스를 구성합니다. 이 예에서 물리적 인터페이스는 GigabitEthernet0/3입니다. Edit Physical Interface(물리적 인터페이스 편집) 창에서
Objects(개체) > Object Types(개체 유형) > Networks(네트워크)로 이동하고 추가 아이콘()을 클릭하여 새 개체를 추가합니다.
Add Network Object(네트워크 개체 추가) 창에서 첫 번째 ISP 게이트웨이를 구성합니다.
유사한 단계를 반복하여 두 번째 ISP 게이트웨이에 다른 네트워크 객체를 구성합니다.
참고: 트래픽을 허용하려면 FTD에서 액세스 제어 정책을 구성해야 합니다. 이 부분은 이 문서에 포함되어 있지 않습니다.
Device(디바이스)로 이동한 다음 Routing(라우팅) 요약의 링크를 클릭합니다.
가상 라우터를 활성화한 경우 고정 경로를 구성하는 라우터의 보기 아이콘()을 클릭합니다. 이 경우에는 가상 라우터가 활성화되지 않습니다.
ECMP Traffic Zones(ECMP 트래픽 영역) 탭을 클릭한 다음 추가 아이콘( )을 클릭하여 새 영역을 추가합니다.
Add ECMP Traffic Zone(ECMP 트래픽 영역 추가) 창에서
outside1 및 outside2의 두 인터페이스가 모두 ECMP 영역에 추가되었습니다.
참고: ECMP 라우팅 트래픽 영역은 보안 영역과 관련이 없습니다. outside1 및 outside2 인터페이스를 포함하는 보안 영역을 생성해도 ECMP 라우팅 목적의 트래픽 영역은 구현되지 않습니다.
각 게이트웨이에 대한 연결을 모니터링하는 데 사용되는 SLA 객체를 정의하려면 Objects(객체) > Object Types(객체 유형) > SLA Monitors(SLA 모니터)로 이동하고, 추가 아이콘()을 클릭하여 첫 번째 ISP 연결에 대한 새 SLA 모니터를 추가합니다.
Add SLA Monitor Object(SLA 모니터 개체 추가) 창에서 다음을 수행합니다.
Add SLA Monitor Object(SLA 모니터 개체 추가) 창에서 유사한 단계를 반복하여 두 번째 ISP 연결에 대해 다른 SLA 모니터 개체를 구성합니다.
Device(디바이스)로 이동한 다음 Routing(라우팅) 요약의 링크를 클릭합니다.
가상 라우터를 활성화한 경우 고정 경로를 구성하는 라우터의 보기 아이콘()을 클릭합니다. 이 경우에는 가상 라우터가 활성화되지 않습니다.
Static Routing 페이지에서 추가 아이콘()을 클릭하여 첫 번째 ISP 링크에 새 고정 경로를 추가합니다.
Add Static Route(고정 경로 추가) 창에서
Add Static Route(고정 경로 추가) 창에서 유사한 단계를 반복하여 두 번째 ISP 연결에 또 다른 고정 경로를 구성합니다.
경로 트랙이 있는 outside1 및 outside2 인터페이스를 통한 2개의 경로가 있습니다.
FTD에 변경 사항을 구축합니다.
FTD의 CLI에 로그인하고 명령을 실행하여 각 영역 show zone 에 속한 인터페이스를 포함하여 ECMP 트래픽 영역에 대한 정보를 확인합니다.
> show zone
Zone: Outside ecmp
Security-level: 0
Zone member(s): 2
outside2 GigabitEthernet0/2
outside1 GigabitEthernet0/1
명령을 실행하여 라우팅 컨피그레이션에
show running-config route 대한 실행 중인 컨피그레이션을 확인합니다. 이 경우 경로 트랙이 있는 고정 경로가 2개 있습니다.
> show running-config route
route outside1 0.0.0.0 0.0.0.0 10.1.1.2 1 track 1
route outside2 0.0.0.0 0.0.0.0 10.1.2.2 1 track 2
라우팅 테이블
show route 을 확인하려면 명령을 실행합니다. 이 경우 인터페이스 outside1과 outside2를 통해 동일한 비용으로 2개의 기본 경로를 사용할 수 있으며, 트래픽이 두 ISP 회로 간에 분산될 수 있습니다.
> show route
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2, V - VPN
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
o - ODR, P - periodic downloaded static route, + - replicated route
SI - Static InterVRF, BI - BGP InterVRF
Gateway of last resort is 10.1.2.2 to network 0.0.0.0
S* 0.0.0.0 0.0.0.0 [1/0] via 10.1.2.2, outside2
[1/0] via 10.1.1.2, outside1
C 10.1.1.0 255.255.255.0 is directly connected, outside1
L 10.1.1.1 255.255.255.255 is directly connected, outside1
C 10.1.2.0 255.255.255.0 is directly connected, outside2
L 10.1.2.1 255.255.255.255 is directly connected, outside2
C 10.1.3.0 255.255.255.0 is directly connected, inside
L 10.1.3.1 255.255.255.255 is directly connected, inside
SLA 모니터
show sla monitor configuration 의 컨피그레이션을 확인하려면 명령을 실행합니다.
> show sla monitor configuration
SA Agent, Infrastructure Engine-II
Entry number: 1037119999
Owner:
Tag:
Type of operation to perform: echo
Target address: 10.1.1.2
Interface: outside1
Number of packets: 1
Request size (ARR data portion): 28
Operation timeout (milliseconds): 5000
Type Of Service parameters: 0x0
Verify data: No
Operation frequency (seconds): 60
Next Scheduled Start Time: Start Time already passed
Group Scheduled : FALSE
Life (seconds): Forever
Entry Ageout (seconds): never
Recurring (Starting Everyday): FALSE
Status of entry (SNMP RowStatus): Active
Enhanced History:
Entry number: 1631063762
Owner:
Tag:
Type of operation to perform: echo
Target address: 10.1.2.2
Interface: outside2
Number of packets: 1
Request size (ARR data portion): 28
Operation timeout (milliseconds): 5000
Type Of Service parameters: 0x0
Verify data: No
Operation frequency (seconds): 60
Next Scheduled Start Time: Start Time already passed
Group Scheduled : FALSE
Life (seconds): Forever
Entry Ageout (seconds): never
Recurring (Starting Everyday): FALSE
Status of entry (SNMP RowStatus): Active
Enhanced History:
SLA 모니터
show sla monitor operational-state 상태를 확인하려면 명령을 실행합니다. 이 경우 명령 출력에서 "Timeout occurred: FALSE"를 찾을 수 있으며, 이는 게이트웨이에 대한 ICMP 에코가 회신하고 있음을 나타냅니다. 따라서 대상 인터페이스를 통과하는 기본 경로가 활성화되어 라우팅 테이블에 설치됩니다.
> show sla monitor operational-state
Entry number: 1037119999
Modification time: 04:14:32.771 UTC Tue Jan 30 2024
Number of Octets Used by this Entry: 2056
Number of operations attempted: 79
Number of operations skipped: 0
Current seconds left in Life: Forever
Operational state of entry: Active
Last time this entry was reset: Never
Connection loss occurred: FALSE
Timeout occurred: FALSE
Over thresholds occurred: FALSE
Latest RTT (milliseconds): 1
Latest operation start time: 05:32:32.791 UTC Tue Jan 30 2024
Latest operation return code: OK
RTT Values:
RTTAvg: 1 RTTMin: 1 RTTMax: 1
NumOfRTT: 1 RTTSum: 1 RTTSum2: 1
Entry number: 1631063762
Modification time: 04:14:32.771 UTC Tue Jan 30 2024
Number of Octets Used by this Entry: 2056
Number of operations attempted: 79
Number of operations skipped: 0
Current seconds left in Life: Forever
Operational state of entry: Active
Last time this entry was reset: Never
Connection loss occurred: FALSE
Timeout occurred: FALSE
Over thresholds occurred: FALSE
Latest RTT (milliseconds): 1
Latest operation start time: 05:32:32.791 UTC Tue Jan 30 2024
Latest operation return code: OK
RTT Values:
RTTAvg: 1 RTTMin: 1 RTTMax: 1
NumOfRTT: 1 RTTSum: 1 RTTSum2: 1
로드 밸런싱
ECMP 로드가 ECMP 영역의 게이트웨이 간에 트래픽 밸런싱을 수행하는지 확인하기 위해 FTD를 통한 초기 트래픽.
show conn 이 경우, Test-PC-1(10.1.3.2) 및 Test-PC-2(10.1.3.4)에서 인터넷 호스트(10.1.5.2)로 SSH 연결을 시작하고, 명령을 실행하여 두 ISP 링크 간에 트래픽이 로드 밸런싱되는지 확인하고, Test-PC-1(10.1.3.2)은 interface outside1을, Test-PC-2(10.1.3.4)는 interface outside2를 거칩니다.
> show conn
4 in use, 14 most used
Inspect Snort:
preserve-connection: 2 enabled, 0 in effect, 12 most enabled, 0 most in effect
TCP inside 10.1.3.4:41652 outside2 10.1.5.2:22, idle 0:02:10, bytes 5276, flags UIO N1
TCP inside 10.1.3.2:57484 outside1 10.1.5.2:22, idle 0:00:04, bytes 5276, flags UIO N1
주: 소스 및 목적지 IP 주소, 수신 인터페이스, 프로토콜, 소스 및 목적지 포트를 해시하는 알고리즘에 따라 지정된 게이트웨이 간에 트래픽이 로드 밸런싱됩니다. 테스트를 실행할 때 시뮬레이션하는 트래픽은 해시 알고리즘 때문에 동일한 게이트웨이로 라우팅될 수 있습니다. 이는 6개의 튜플(소스 IP, 목적지 IP, 수신 인터페이스, 프로토콜, 소스 포트, 목적지 포트) 중에서 값을 변경하여 해시 결과를 변경할 수 있습니다.
잃어버린 경로
첫 번째 ISP 게이트웨이에 대한 링크가 중단되면 첫 번째 게이트웨이 라우터를 종료하여 시뮬레이션합니다. FTD가 SLA Monitor 개체에 지정된 임계값 타이머 내에서 첫 번째 ISP 게이트웨이로부터 에코 응답을 받지 못하면 호스트에 연결할 수 없는 것으로 간주되고 중단된 것으로 표시됩니다. 첫 번째 게이트웨이에 대한 추적 경로도 라우팅 테이블에서 제거됩니다.
SLA 모니터
show sla monitor operational-state 의 현재 상태를 확인하려면 명령을 실행합니다. 이 경우 명령 출력에서 "Timeout occurred: True"를 찾을 수 있으며, 이는 첫 번째 ISP 게이트웨이에 대한 ICMP 에코가 응답하지 않음을 나타냅니다.
> show sla monitor operational-state
Entry number: 1037119999
Modification time: 04:14:32.771 UTC Tue Jan 30 2024
Number of Octets Used by this Entry: 2056
Number of operations attempted: 121
Number of operations skipped: 0
Current seconds left in Life: Forever
Operational state of entry: Active
Last time this entry was reset: Never
Connection loss occurred: FALSE
Timeout occurred: TRUE
Over thresholds occurred: FALSE
Latest RTT (milliseconds): NoConnection/Busy/Timeout
Latest operation start time: 06:14:32.801 UTC Tue Jan 30 2024
Latest operation return code: Timeout
RTT Values:
RTTAvg: 0 RTTMin: 0 RTTMax: 0
NumOfRTT: 0 RTTSum: 0 RTTSum2: 0
Entry number: 1631063762
Modification time: 04:14:32.771 UTC Tue Jan 30 2024
Number of Octets Used by this Entry: 2056
Number of operations attempted: 121
Number of operations skipped: 0
Current seconds left in Life: Forever
Operational state of entry: Active
Last time this entry was reset: Never
Connection loss occurred: FALSE
Timeout occurred: FALSE
Over thresholds occurred: FALSE
Latest RTT (milliseconds): 1
Latest operation start time: 06:14:32.802 UTC Tue Jan 30 2024
Latest operation return code: OK
RTT Values:
RTTAvg: 1 RTTMin: 1 RTTMax: 1
NumOfRTT: 1 RTTSum: 1 RTTSum2: 1
명령을 실행하여 현재 라우팅 테이블
show route 을 확인하고 인터페이스 outside1을 통해 첫 번째 ISP 게이트웨이로 향하는 경로가 제거되며, 인터페이스 outside2를 통해 두 번째 ISP 게이트웨이로 향하는 활성 기본 경로는 하나뿐입니다.
> show route
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2, V - VPN
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
o - ODR, P - periodic downloaded static route, + - replicated route
SI - Static InterVRF, BI - BGP InterVRF
Gateway of last resort is 10.1.2.2 to network 0.0.0.0
S* 0.0.0.0 0.0.0.0 [1/0] via 10.1.2.2, outside2
C 10.1.1.0 255.255.255.0 is directly connected, outside1
L 10.1.1.1 255.255.255.255 is directly connected, outside1
C 10.1.2.0 255.255.255.0 is directly connected, outside2
L 10.1.2.1 255.255.255.255 is directly connected, outside2
C 10.1.3.0 255.255.255.0 is directly connected, inside
L 10.1.3.1 255.255.255.255 is directly connected, inside
명령을 실행하면
show conn 두 개의 연결이 여전히 작동 중인 것을 확인할 수 있습니다. SSH 세션은 Test-PC-1(10.1.3.2) 및 Test-PC-2(10.1.3.4)에서도 중단 없이 활성화됩니다.
> show conn
4 in use, 14 most used
Inspect Snort:
preserve-connection: 2 enabled, 0 in effect, 12 most enabled, 0 most in effect
TCP inside 10.1.3.4:41652 outside2 10.1.5.2:22, idle 0:19:29, bytes 5276, flags UIO N1
TCP inside 10.1.3.2:57484 outside1 10.1.5.2:22, idle 0:17:22, bytes 5276, flags UIO N1
참고: 라우팅 테이블에서show conn interface outside1을 통한 기본 경로가 제거되었지만, Test-PC-1(10.1.3.2)의 , SSH 세션은 interface outside1을 통해 계속 유지되고 있음을 알 수 있습니다. 이는 설계에 따라 interface outside2를 통해 실제 트래픽이 흐르는 것으로 예상됩니다. Test-PC-1(10.1.3.2)에서 Internet-Host(10.1.5.2)로의 새 연결을 시작하면 interface outside2를 통해 모든 트래픽이 처리됨을 확인할 수 있습니다.
문제 해결
라우팅 테이블 변경을 검증하려면 명령을 실행합니다
debug ip routing.
이 예에서는 첫 번째 ISP 게이트웨이에 대한 링크가 중단되면 인터페이스 outside1을 통한 경로가 라우팅 테이블에서 제거됩니다.
> debug ip routing
IP routing debugging is on
RT: ip_route_delete 0.0.0.0 0.0.0.0 via 10.1.1.2, outside1
ha_cluster_synced 0 routetype 0
RT: del 0.0.0.0 via 10.1.1.2, static metric [1/0]NP-route: Delete-Output 0.0.0.0/0 hop_count:1 , via 0.0.0.0, outside1
RT(mgmt-only):
NP-route: Update-Output 0.0.0.0/0 hop_count:1 , via 10.1.2.2, outside2
NP-route: Update-Input 0.0.0.0/0 hop_count:1 Distance:1 Flags:0X0 , via 10.1.2.2, outside2
명령을 실행하여 현재 라우팅 테이블을 확인합니다
show route .
> show route
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2, V - VPN
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
o - ODR, P - periodic downloaded static route, + - replicated route
SI - Static InterVRF, BI - BGP InterVRF
Gateway of last resort is 10.1.2.2 to network 0.0.0.0
S* 0.0.0.0 0.0.0.0 [1/0] via 10.1.2.2, outside2
C 10.1.1.0 255.255.255.0 is directly connected, outside1
L 10.1.1.1 255.255.255.255 is directly connected, outside1
C 10.1.2.0 255.255.255.0 is directly connected, outside2
L 10.1.2.1 255.255.255.255 is directly connected, outside2
C 10.1.3.0 255.255.255.0 is directly connected, inside
L 10.1.3.1 255.255.255.255 is directly connected, inside
첫 번째 ISP 게이트웨이에 대한 링크가 다시 작동하면 인터페이스 outside1을 통한 경로가 라우팅 테이블에 다시 추가됩니다.
> debug ip routing
IP routing debugging is on
RT(mgmt-only):
NP-route: Update-Output 0.0.0.0/0 hop_count:1 , via 10.1.2.2, outside2
NP-route: Update-Output 0.0.0.0/0 hop_count:1 , via 10.1.1.2, outside2
NP-route: Update-Input 0.0.0.0/0 hop_count:2 Distance:1 Flags:0X0 , via 10.1.2.2, outside2
via 10.1.1.2, outside1
명령을 실행하여 현재 라우팅 테이블을 확인합니다
show route .
> show route
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2, V - VPN
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
o - ODR, P - periodic downloaded static route, + - replicated route
SI - Static InterVRF, BI - BGP InterVRF
Gateway of last resort is 10.1.2.2 to network 0.0.0.0
S* 0.0.0.0 0.0.0.0 [1/0] via 10.1.2.2, outside2
[1/0] via 10.1.1.2, outside1
C 10.1.1.0 255.255.255.0 is directly connected, outside1
L 10.1.1.1 255.255.255.255 is directly connected, outside1
C 10.1.2.0 255.255.255.0 is directly connected, outside2
L 10.1.2.1 255.255.255.255 is directly connected, outside2
C 10.1.3.0 255.255.255.0 is directly connected, inside
L 10.1.3.1 255.255.255.255 is directly connected, inside
관련 정보
개정 | 게시 날짜 | 의견 |
---|---|---|
1.0 |
02-Feb-2024 |
최초 릴리스 |