ASA/PIX 7.x: Configuratie-voorbeeld van redundante of back-up van ISP-links

Downloadopties

PDF (467.3 KB)
Met Adobe Reader op diverse apparaten bekijken
ePub (316.8 KB)
Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
Mobi (Kindle) (475.7 KB)
Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken

Bijgewerkt:13 oktober 2008

Document-id:70559

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

Inhoud

Inleiding

Voorwaarden

Vereisten

Gebruikte componenten

Verwante producten

Conventies

Achtergrondinformatie

Configureren

Netwerkdiagram

Configuraties

CLI-configuratie

ASDM-configuratie

Verifiëren

Bevestig dat de configuratie voltooid is

Controleer of de back-uproute is geïnstalleerd (CLI-methode)

Controleer of de back-uproute is geïnstalleerd (ASDM-methode)

Problemen oplossen

Opdrachten voor debugging

Volgroute wordt onnodig verwijderd

SLA-bewaking op ASA

Gerelateerde informatie

Inleiding

Een probleem met statische routes is dat geen inherent mechanisme bestaat om te bepalen als de route op of neer is. De route blijft in de routerlijst zelfs als de volgende hopgateway niet beschikbaar wordt. Statische routes worden alleen uit de routeringstabel verwijderd als de bijbehorende interface op het security apparaat omlaag gaat. Om dit probleem op te lossen, wordt een statische route tracking functie gebruikt om de beschikbaarheid van een statische route te volgen en, als die route mislukt, verwijder het uit de routeringstabel en vervang het door een back-uproute.

Dit document biedt een voorbeeld van de manier waarop de statische route-traceringsfunctie op de PIX 500 Series security applicatie of de ASA 5500 Series adaptieve security applicatie kan worden gebruikt om redundante of back-up-internetverbindingen te kunnen gebruiken. In dit voorbeeld, staat het statische route volgen het veiligheidstoestel toe om een goedkope verbinding aan een secundaire dienstverlener van Internet (ISP) te gebruiken in het geval dat de primaire huurlijn niet beschikbaar wordt.

Om deze redundantie te bereiken, koppelt het security apparaat een statische route aan een monitoringdoel dat u definieert. De SLA-operatie (Service Level Agreement) bewaakt het doel met periodieke ICMP-echoverzoeken (Internet Control Message Protocol). Als een echoantwoord niet wordt ontvangen, wordt het voorwerp overwogen neer, en de bijbehorende route wordt verwijderd uit de verpletterende lijst. Een eerder ingestelde back-uproute wordt gebruikt in plaats van de route die wordt verwijderd. Tijdens het gebruik van de back-uproute blijft de SLA-monitorbewerking proberen het monitoringdoel te bereiken. Zodra het doel opnieuw beschikbaar is, wordt de eerste route vervangen in de routeringstabel, en de reserveroute wordt verwijderd.

Opmerking: de configuratie die in dit document wordt beschreven, kan niet worden gebruikt voor taakverdeling of taakverdeling omdat deze niet wordt ondersteund op ASA/PIX. Gebruik deze configuratie alleen voor redundantie of back-updoeleinden. Uitgaand verkeer gebruikt de primaire ISP en vervolgens de secundaire ISP, als de primaire ISP uitvalt. Een storing van de primaire ISP veroorzaakt een tijdelijke verstoring van het verkeer.

Voorwaarden

Vereisten

Kies een controledoel dat op ICMP-echoverzoeken kan reageren. Het doel kan elk netwerkobject zijn dat u kiest, maar een doel dat nauw verbonden is met uw ISP-verbinding wordt aanbevolen. Mogelijke monitoringdoelstellingen zijn onder meer:

Het ISP-gatewayadres
Een ander ISP-beheerd adres
Een server op een ander netwerk, zoals een AAA-server, waarmee het security apparaat moet communiceren
Een persistent netwerkobject op een ander netwerk (een desktop of notebook-computer die u 's nachts kunt afsluiten is geen goede keuze)

In dit document wordt ervan uitgegaan dat het security apparaat volledig operationeel is en geconfigureerd om Cisco ASDM in staat te stellen configuratie-wijzigingen door te voeren.

Opmerking: Raadpleeg Toestaan van HTTPS-toegang voor ASDM voor informatie over het configureren van het apparaat door ASDM.

Gebruikte componenten

De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:

Cisco PIX security applicatie 5150E met softwareversie 7.2(1) of hoger
Cisco Adaptieve Security Device Manager 5.2(1) of hoger

De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u de potentiële impact van elke opdracht begrijpen.

Verwante producten

U kunt deze configuratie ook gebruiken met de Cisco ASA 5500 Series security applicatie versie 7.2(1).

Opmerking: De back-up interface opdracht is vereist om de vierde interface op de ASA 5505 te configureren. Raadpleeg de back-upinterface voor meer informatie.

Conventies

Raadpleeg de Cisco Technical Tips Conventions voor meer informatie over documentconventies.

Achtergrondinformatie

In dit voorbeeld, het veiligheidstoestel handhaaft twee verbindingen aan Internet. De eerste verbinding is een snelle huurlijn die door een router wordt betreden die door primaire ISP wordt verstrekt. De tweede verbinding is een DSL-lijn (Low Speed Digital Subscriber Line) die benaderd wordt via een DSL-modem die door de secundaire ISP wordt geleverd.

Opmerking: taakverdeling komt niet voor in dit voorbeeld.

De DSL-verbinding is niet actief zolang de huurlijn actief is en de primaire ISP-gateway bereikbaar is. Als de verbinding met de primaire ISP echter uitvalt, verandert het security apparaat de routeringstabel om verkeer naar de DSL-verbinding te leiden. Statische route tracking wordt gebruikt om deze redundantie te bereiken.

Het security apparaat is geconfigureerd met een statische route die al het internetverkeer naar de primaire ISP leidt. Elke 10 seconden controleert het SLA-monitorproces om te bevestigen dat de primaire ISP-gateway bereikbaar is. Als het SLA-monitorproces bepaalt dat de primaire ISP-gateway niet bereikbaar is, wordt de statische route die het verkeer naar die interface leidt verwijderd uit de routeringstabel. Om die statische route te vervangen, wordt een alternatieve statische route die verkeer naar de secundaire ISP leidt geïnstalleerd. Deze alternatieve statische route leidt verkeer naar de secundaire ISP via de DSL-modem tot de koppeling naar de primaire ISP bereikbaar is.

Deze configuratie verstrekt een vrij goedkope manier om ervoor te zorgen dat de uitgaande toegang van Internet aan gebruikers achter het veiligheidstoestel beschikbaar blijft. Zoals in dit document is beschreven, is deze instelling mogelijk niet geschikt voor inkomende toegang tot bronnen achter het security apparaat. Geavanceerde netwerkvaardigheden zijn vereist om naadloze inkomende verbindingen te kunnen realiseren. Deze vaardigheden worden in dit document niet behandeld.

Configureren

Deze sectie bevat informatie over het configureren van de functies die in dit document worden beschreven.

Opmerking: de IP-adressen die in deze configuratie worden gebruikt, zijn juridisch niet routeerbaar op internet. Het zijn RFC 1918-adressen die in een laboratoriumomgeving worden gebruikt.

Netwerkdiagram

Het netwerk in dit document is als volgt opgebouwd:

Configuraties

Dit document gebruikt de volgende configuraties:

Opdracht-lijn interface (CLI)
Adaptieve security apparaatbeheer (ASDM)

Opmerking: Gebruik de Command Lookup Tool (alleen voor geregistreerde klanten) voor meer informatie over de opdrachten die in deze sectie worden gebruikt.

CLI-configuratie

PIX
pix# show running-config : Saved : PIX Version 7.2(1) ! hostname pix domain-name default.domain.invalid enable password 9jNfZuG3TC5tCVH0 encrypted names ! interface Ethernet0 nameif outside security-level 0 ip address 10.200.159.2 255.255.255.248 ! interface Ethernet1 nameif backup !--- The interface attached to the Secondary ISP. !--- "backup" was chosen here, but any name can be assigned. security-level 0 ip address 10.250.250.2 255.255.255.248 ! interface Ethernet2 nameif inside security-level 100 ip address 172.22.1.163 255.255.255.0 ! interface Ethernet3 shutdown no nameif no security-level no ip address ! interface Ethernet4 shutdown no nameif no security-level no ip address ! interface Ethernet5 shutdown no nameif no security-level no ip address ! passwd 2KFQnbNIdI.2KYOU encrypted ftp mode passive dns server-group DefaultDNS domain-name default.domain.invalid pager lines 24 logging enable logging buffered debugging mtu outside 1500 mtu backup 1500 mtu inside 1500 no failover asdm image flash:/asdm521.bin no asdm history enable arp timeout 14400 global (outside) 1 interface global (backup) 1 interface nat (inside) 1 172.16.1.0 255.255.255.0 !--- NAT Configuration for Outside and Backup route outside 0.0.0.0 0.0.0.0 10.200.159.1 1 track 1 !--- Enter this command in order to track a static route. !--- This is the static route to be installed in the routing !--- table while the tracked object is reachable. The value after !--- the keyword "track" is a tracking ID you specify. route backup 0.0.0.0 0.0.0.0 10.250.250.1 254 !--- Define the backup route to use when the tracked object is unavailable. !--- The administrative distance of the backup route must be greater than !--- the administrative distance of the tracked route. !--- If the primary gateway is unreachable, that route is removed !--- and the backup route is installed in the routing table !--- instead of the tracked route. timeout xlate 3:00:00 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00 timeout uauth 0:05:00 absolute username cisco password ffIRPGpDSOJh9YLq encrypted http server enable http 172.22.1.0 255.255.255.0 inside no snmp-server location no snmp-server contact snmp-server enable traps snmp authentication linkup linkdown coldstart sla monitor 123 type echo protocol ipIcmpEcho 10.0.0.1 interface outside num-packets 3 frequency 10 !--- Configure a new monitoring process with the ID 123. Specify the !--- monitoring protocol and the target network object whose availability the tracking !--- process monitors. Specify the number of packets to be sent with each poll. !--- Specify the rate at which the monitor process repeats (in seconds). sla monitor schedule 123 life forever start-time now !--- Schedule the monitoring process. In this case the lifetime !--- of the process is specified to be forever. The process is scheduled to begin !--- at the time this command is entered. As configured, this command allows the !--- monitoring configuration specified above to determine how often the testing !--- occurs. However, you can schedule this monitoring process to begin in the !--- future and to only occur at specified times. ! track 1 rtr 123 reachability !--- Associate a tracked static route with the SLA monitoring process. !--- The track ID corresponds to the track ID given to the static route to monitor: !--- route outside 0.0.0.0 0.0.0.0 10.0.0.2 1 track 1 !--- "rtr" = Response Time Reporter entry. 123 is the ID of the SLA process !--- defined above. telnet timeout 5 ssh timeout 5 console timeout 0 ! class-map inspection_default match default-inspection-traffic ! ! policy-map type inspect dns preset_dns_map parameters message-length maximum 512 policy-map global_policy class inspection_default inspect dns preset_dns_map inspect ftp inspect h323 h225 inspect h323 ras inspect netbios inspect rsh inspect rtsp inspect skinny inspect esmtp inspect sqlnet inspect sunrpc inspect tftp inspect sip inspect xdmcp ! service-policy global_policy global prompt hostname context Cryptochecksum:a4a0e9be4593ad43bc17a1cc25e32dc2 : end

PIX

pix# show running-config
: Saved
:
PIX Version 7.2(1)
!
hostname pix
domain-name default.domain.invalid
enable password 9jNfZuG3TC5tCVH0 encrypted
names
!
interface Ethernet0
 nameif outside
 security-level 0
 ip address 10.200.159.2 255.255.255.248
!
interface Ethernet1
 nameif backup

!--- The interface attached to the Secondary ISP. !--- "backup" was chosen here, but any name can be assigned.

 security-level 0
 ip address 10.250.250.2 255.255.255.248
!
interface Ethernet2
 nameif inside
 security-level 100
 ip address 172.22.1.163 255.255.255.0
!
interface Ethernet3
 shutdown
 no nameif
 no security-level
 no ip address
!
interface Ethernet4
 shutdown
 no nameif
 no security-level
 no ip address
!
interface Ethernet5
 shutdown
 no nameif
 no security-level
 no ip address
!
passwd 2KFQnbNIdI.2KYOU encrypted
ftp mode passive
dns server-group DefaultDNS
 domain-name default.domain.invalid
pager lines 24
logging enable
logging buffered debugging
mtu outside 1500
mtu backup 1500
mtu inside 1500
no failover
asdm image flash:/asdm521.bin
no asdm history enable
arp timeout 14400

global (outside) 1 interface
global (backup) 1 interface
nat (inside) 1 172.16.1.0 255.255.255.0

!--- NAT Configuration for Outside and Backup

route outside 0.0.0.0 0.0.0.0 10.200.159.1 1 track 1

!--- Enter this command in order to track a static route. !--- This is the static route to be installed in the routing !--- table while the tracked object is reachable. The value after !--- the keyword "track" is a tracking ID you specify. 

route backup 0.0.0.0 0.0.0.0 10.250.250.1 254

!--- Define the backup route to use when the tracked object is unavailable. !--- The administrative distance of the backup route must be greater than !--- the administrative distance of the tracked route. !--- If the primary gateway is unreachable, that route is removed !--- and the backup route is installed in the routing table !--- instead of the tracked route. 

timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
username cisco password ffIRPGpDSOJh9YLq encrypted
http server enable
http 172.22.1.0 255.255.255.0 inside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart

sla monitor 123
 type echo protocol ipIcmpEcho 10.0.0.1 interface outside
 num-packets 3
 frequency 10

!--- Configure a new monitoring process with the ID 123. Specify the !--- monitoring protocol and the target network object whose availability the tracking !--- process monitors. Specify the number of packets to be sent with each poll. !--- Specify the rate at which the monitor process repeats (in seconds).

sla monitor schedule 123 life forever start-time now

!--- Schedule the monitoring process. In this case the lifetime !--- of the process is specified to be forever. The process is scheduled to begin !--- at the time this command is entered. As configured, this command allows the !--- monitoring configuration specified above to determine how often the testing !--- occurs. However, you can schedule this monitoring process to begin in the !--- future and to only occur at specified times.

!
track 1 rtr 123 reachability

!--- Associate a tracked static route with the SLA monitoring process. !--- The track ID corresponds to the track ID given to the static route to monitor: !--- route outside 0.0.0.0 0.0.0.0 10.0.0.2 1 track 1 !--- "rtr" = Response Time Reporter entry. 123 is the ID of the SLA process !--- defined above. 

telnet timeout 5
ssh timeout 5
console timeout 0
!
class-map inspection_default
 match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
 parameters
  message-length maximum 512
policy-map global_policy
 class inspection_default
  inspect dns preset_dns_map
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect netbios
  inspect rsh
  inspect rtsp
  inspect skinny
  inspect esmtp
  inspect sqlnet
  inspect sunrpc
  inspect tftp
  inspect sip
  inspect xdmcp
!
service-policy global_policy global
prompt hostname context
Cryptochecksum:a4a0e9be4593ad43bc17a1cc25e32dc2
: end

ASDM-configuratie

Voltooi de volgende stappen om redundante of back-up ISP-ondersteuning te configureren met de ASDM-toepassing:

Klik in de ASDM-toepassing op Configuration en vervolgens op Interfaces.
Selecteer in de lijst Interfaces de optie Ethernet0 en klik op Bewerken.

Dit dialoogvenster verschijnt.
Schakel het selectievakje Interface inschakelen in en voer waarden in in de velden Interfacenaam, Beveiligingsniveau, IP-adres en Subnetmasker.
Klik op OK om het dialoogvenster te sluiten.
Configureer indien nodig andere interfaces en klik op Toepassen om de configuratie van het security apparaat bij te werken.
Klik op Routing links in de ASDM-toepassing.
Klik op Add om de nieuwe statische routes toe te voegen.

Dit dialoogvenster verschijnt.
Van de vervolgkeuzelijst Interfacenaam, kies de interface waarop de route verblijft, en vorm de standaardroute om de gateway te bereiken. In dit voorbeeld, is 10.0.0.1 de primaire ISP gateway, evenals het voorwerp om met echo's te controleren ICMP.
In het gebied Opties klikt u op de knop Volgzaam en voert u waarden in de velden Track ID, SLA ID en IP-adres bijhouden.
Klik op Bewakingsopties.

Dit dialoogvenster verschijnt.
Voer waarden in voor frequentie en andere bewakingsopties en klik op OK.
Voeg een andere statische route voor de secundaire ISP toe om een route te verstrekken om Internet te bereiken.

Om tot het een secundaire route te maken, vorm deze route met een hogere metriek, zoals 254. Als de primaire route (primaire ISP) ontbreekt, wordt die route verwijderd uit de routeringstabel. Deze secundaire route (secundaire ISP) wordt in plaats daarvan geïnstalleerd in de PIX-routeringstabel.
Klik op OK om het dialoogvenster te sluiten.

De configuraties worden weergegeven in de interfacelijst.
Selecteer de routerconfiguratie en klik op Toepassen om de configuratie van het security apparaat bij te werken.

Verifiëren

Gebruik deze sectie om te controleren of uw configuratie goed werkt.

Bevestig dat de configuratie voltooid is

Gebruik deze show opdrachten om te verifiëren dat uw configuratie volledig is.

De Output Interpreter Tool (OIT) (alleen voor geregistreerde klanten) ondersteunt bepaalde opdrachten met show. Gebruik de OIT om een analyse te bekijken van de output van de opdracht show.

toon in werking stelt -in werking stellen-Config dia monitor-Toont de bevelen van SLA in de configuratie.

pix# show running-config sla monitor
sla monitor 123
 type echo protocol ipIcmpEcho 10.0.0.1 interface outside
 num-packets 3
 frequency 10
sla monitor schedule 123 life forever start-time now

toon sla monitor configuratie -Toont de huidige configuratie instellingen van de verrichting.

pix# show sla monitor configuration 123
IP SLA Monitor, Infrastructure Engine-II.
Entry number: 123
Owner:
Tag:
Type of operation to perform: echo
Target address: 10.0.0.1
Interface: outside
Number of packets: 3
Request size (ARR data portion): 28
Operation timeout (milliseconds): 5000
Type Of Service parameters: 0x0
Verify data: No
Operation frequency (seconds): 10
Next Scheduled Start Time: Start Time already passed
Group Scheduled : FALSE
Life (seconds): Forever
Entry Ageout (seconds): never
Recurring (Starting Everyday): FALSE
Status of entry (SNMP RowStatus): Active
Enhanced History:

toon sla monitor operationeel-staat-Toont de operationele statistieken van de verrichting van SLA.

Alvorens primaire ISP ontbreekt, is dit de operationele staat:

pix# show sla monitor operational-state 123
Entry number: 123
Modification time: 13:59:37.824 UTC Thu Oct 12 2006
Number of Octets Used by this Entry: 1480
Number of operations attempted: 367
Number of operations skipped: 0
Current seconds left in Life: Forever
Operational state of entry: Active
Last time this entry was reset: Never
Connection loss occurred: FALSE
Timeout occurred: FALSE
Over thresholds occurred: FALSE
Latest RTT (milliseconds): 1
Latest operation start time: 15:00:37.825 UTC Thu Oct 12 2006
Latest operation return code: OK
RTT Values:
RTTAvg: 1       RTTMin: 1       RTTMax: 1
NumOfRTT: 3     RTTSum: 3       RTTSum2: 3

Nadat de primaire ISP uitvalt (en de ICMP-echotijd uitvalt), is dit de operationele status:

pix# show sla monitor operational-state
Entry number: 123
Modification time: 13:59:37.825 UTC Thu Oct 12 2006
Number of Octets Used by this Entry: 1480
Number of operations attempted: 385
Number of operations skipped: 0
Current seconds left in Life: Forever
Operational state of entry: Active
Last time this entry was reset: Never
Connection loss occurred: FALSE
Timeout occurred: TRUE
Over thresholds occurred: FALSE
Latest RTT (milliseconds): NoConnection/Busy/Timeout
Latest operation start time: 15:03:27.825 UTC Thu Oct 12 2006
Latest operation return code: Timeout
RTT Values:
RTTAvg: 0       RTTMin: 0       RTTMax: 0
NumOfRTT: 0     RTTSum: 0       RTTSum2: 0

Controleer of de back-uproute is geïnstalleerd (CLI-methode)

Gebruik de opdracht show route om te bepalen wanneer de back-uproute is geïnstalleerd.

Alvorens primaire ISP ontbreekt, is dit de routeringstabel:

pix# show route

Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
       i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
       * - candidate default, U - per-user static route, o - ODR
       P - periodic downloaded static route

Gateway of last resort is 10.200.159.1 to network 0.0.0.0

S    64.101.0.0 255.255.0.0 [1/0] via 172.22.1.1, inside
C    172.22.1.0 255.255.255.0 is directly connected, inside
C    10.250.250.0 255.255.255.248 is directly connected, backup
C    10.200.159.0 255.255.255.248 is directly connected, outside
S*   0.0.0.0 0.0.0.0 [1/0] via 10.200.159.1, outside

Nadat de primaire ISP ontbreekt, wordt de statische route verwijderd, en de reserveroute wordt geïnstalleerd, is dit de routeringstabel:

pix(config)# show route

Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
       i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
       * - candidate default, U - per-user static route, o - ODR
       P - periodic downloaded static route

Gateway of last resort is 10.250.250.1 to network 0.0.0.0

S    64.101.0.0 255.255.0.0 [1/0] via 172.22.1.1, inside
C    172.22.1.0 255.255.255.0 is directly connected, inside
C    10.250.250.0 255.255.255.248 is directly connected, backup
C    10.200.159.0 255.255.255.248 is directly connected, outside
S*   0.0.0.0 0.0.0.0 [254/0] via 10.250.250.1, backup

Controleer of de back-uproute is geïnstalleerd (ASDM-methode)

Voltooi de volgende stappen om met de ASDM te kunnen bevestigen dat de back-uproute is geïnstalleerd:

Klik op Monitoring en klik vervolgens op Routing.
Kies Routes in de Routing-structuur.
- Alvorens primaire ISP ontbreekt, is dit de routeringstabel:
  
  De STANDAARD route wijst naar 10.0.0.2 door de buiteninterface.
- Nadat de primaire ISP faalt, wordt de route verwijderd, en de reserveroute wordt geïnstalleerd. De STANDAARD route wijst nu naar 10.250.250.1 via de back-upinterface.

Problemen oplossen

Opdrachten voor debugging

debug sla monitor spoor-Vertoningen vooruitgang van de echoverrichting.

Het getraceerde object (primaire ISP-gateway) is omhoog en ICMP-echo's zijn geslaagd.

IP SLA Monitor(123) Scheduler: Starting an operation
IP SLA Monitor(123) echo operation: Sending an echo operation
IP SLA Monitor(123) echo operation: RTT=3 OK
IP SLA Monitor(123) echo operation: RTT=3 OK
IP SLA Monitor(123) echo operation: RTT=4 OK
IP SLA Monitor(123) Scheduler: Updating result

Het getraceerde object (primaire ISP-gateway) is niet bereikbaar en ICMP-echo's mislukken.

IP SLA Monitor(123) Scheduler: Starting an operation
IP SLA Monitor(123) echo operation: Sending an echo operation
IP SLA Monitor(123) echo operation: Timeout
IP SLA Monitor(123) echo operation: Timeout
IP SLA Monitor(123) echo operation: Timeout
IP SLA Monitor(123) Scheduler: Updating result

debug sla monitor fout-Toont fouten die het SLA monitorproces ontmoet.

Het getraceerde object (primaire ISP-gateway) is omhoog en ICMP is succesvol.

%PIX-7-609001: Built local-host NP Identity Ifc:10.200.159.2
%PIX-7-609001: Built local-host outside:10.0.0.1
%PIX-6-302020: Built ICMP connection for faddr 10.0.0.1/0 gaddr 
               10.200.159.2/52696 laddr 10.200.159.2/52696
%PIX-6-302021: Teardown ICMP connection for faddr 10.0.0.1/0 gaddr 
               10.200.159.2/52696 laddr 10.200.159.2/52696
%PIX-7-609002: Teardown local-host NP Identity Ifc:10.200.159.2 duration 
               0:00:00
%PIX-7-609002: Teardown local-host outside:10.0.0.1 duration 0:00:00
%PIX-7-609001: Built local-host NP Identity Ifc:10.200.159.2
%PIX-7-609001: Built local-host outside:10.0.0.1
%PIX-6-302020: Built ICMP connection for faddr 10.0.0.1/0 gaddr 
               0.200.159.2/52697 laddr 10.200.159.2/52697
%PIX-6-302021: Teardown ICMP connection for faddr 10.0.0.1/0 gaddr 
               10.200.159.2/52697 laddr 10.200.159.2/52697
%PIX-7-609002: Teardown local-host NP Identity Ifc:10.200.159.2 
               duration 0:00:00
%PIX-7-609002: Teardown local-host outside:10.0.0.1 duration 0:00:00

Het getraceerde object (primaire ISP-gateway) is omlaag en de getraceerde route is verwijderd.

%PIX-7-609001: Built local-host NP Identity Ifc:10.200.159.2
%PIX-7-609001: Built local-host outside:10.0.0.1
%PIX-6-302020: Built ICMP connection for faddr 10.0.0.1/0 gaddr 
               10.200.159.2/6405 laddr 10.200.159.2/6405
%PIX-6-302020: Built ICMP connection for faddr 10.0.0.1/0 gaddr  
               10.200.159.2/6406 laddr 10.200.159.2/6406
%PIX-6-302020: Built ICMP connection for faddr 10.0.0.1/0 gaddr  
               10.200.159.2/6407 laddr 10.200.159.2/6407
%PIX-6-302021: Teardown ICMP connection for faddr 10.0.0.1/0 gaddr  
               10.200.159.2/6405 laddr 10.200.159.2/6405
%PIX-6-302021: Teardown ICMP connection for faddr 10.0.0.1/0 gaddr  
               10.200.159.2/6406 laddr 10.200.159.2/6406
%PIX-6-302021: Teardown ICMP connection for faddr 10.0.0.1/0 gaddr  
               10.200.159.2/6407 laddr 10.200.159.2/6407
%PIX-7-609002: Teardown local-host NP Identity Ifc:10.200.159.2 
               duration 0:00:02
%PIX-7-609002: Teardown local-host outside:10.0.0.1 duration 0:00:02
%PIX-6-622001: Removing tracked route 0.0.0.0 0.0.0.0 10.200.159.1,  
               distance 1, table Default-IP-Routing-Table, on interface 
               outside

!--- 10.0.0.1 is unreachable, so the route to the Primary ISP is removed.

Volgroute wordt onnodig verwijderd

Als de gevolgde route onnodig wordt verwijderd, zorg ervoor dat uw controledoel altijd beschikbaar is om echoverzoeken te ontvangen. Zorg er bovendien voor dat de status van uw controledoel (dat wil zeggen, of het doel bereikbaar is of niet) nauw verbonden is met de status van de primaire ISP-verbinding.

Als u een controledoel kiest dat verder weg is dan de ISP gateway, kan een andere verbinding langs die route ontbreken of kan een ander apparaat interfereren. Door deze configuratie kan de SLA-monitor tot de conclusie komen dat de verbinding met de primaire ISP is mislukt, waardoor het security apparaat onnodig is overgestapt op de secundaire ISP-link.

Bijvoorbeeld, als u een router van het bijkantoor als uw controledoel kiest, zou de ISP verbinding aan uw bijkantoor, evenals een andere verbinding langs de manier kunnen ontbreken. Zodra de ICMP-echo's die door de controlehandeling worden verzonden, mislukken, wordt de primaire getraceerde route verwijderd, ook al is de primaire ISP-link nog steeds actief.

In dit voorbeeld wordt de primaire ISP-gateway die als controledoel wordt gebruikt, beheerd door de ISP en bevindt zich aan de andere kant van de ISP-link. Deze configuratie zorgt ervoor dat als de ICMP-echo's die door de controlehandeling worden verzonden, mislukken, de ISP-link vrijwel zeker omlaag is.

SLA-bewaking op ASA

Probleem:

SLA-bewaking werkt niet nadat de ASA is bijgewerkt naar versie 8.0.

Oplossing:

Het probleem is mogelijk te wijten aan de opdracht IP omgekeerd-pad die in de BUITENinterface is geconfigureerd. Verwijder de opdracht in ASA en probeer de SLA-bewaking te controleren.

Gerelateerde informatie

Revisiegeschiedenis

Revisie	Publicatiedatum	Opmerkingen
1.0	26-Jun-2006	Eerste vrijgave

ASA/PIX 7.x: Configuratie-voorbeeld van redundante of back-up van ISP-links

Downloadopties

Inclusief taalgebruik

Over deze vertaling

Inhoud

Revisiegeschiedenis

Was dit document nuttig?

Contact Cisco

Dit document is van toepassing op deze producten