ASA/PIX 7.x: Exemplo de Configuração de Links ISP Redundantes ou de Backup

Opções de download

PDF (467.5 KB)
Ver no Adobe Reader em vários dispositivos
ePub (317.2 KB)
Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
Mobi (Kindle) (476.2 KB)
Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos

Atualizado:13 de outubro de 2008

ID do documento:70559

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

Introdução

Pré-requisitos

Requisitos

Componentes Utilizados

Produtos Relacionados

Conventions

Informações de Apoio

Configurar

Diagrama de Rede

Configurações

Configuração de CLI

Configuração do ASDM

Verificar

Confirme se a configuração foi concluída

Confirmar se a rota de backup está instalada (método CLI)

Confirmar se a rota de backup está instalada (método ASDM)

Troubleshooting

Comandos debug

A rota rastreada é removida desnecessariamente

Monitoramento de SLA no ASA

Informações Relacionadas

Introdução

Um problema com rotas estáticas é que não existe nenhum mecanismo inerente para determinar se a rota está ativa ou inativa. A rota permanece na tabela de roteamento mesmo que o gateway do próximo salto se torne indisponível. As rotas estáticas serão removidas da tabela de roteamento somente se a interface associada no Security Appliance for desativada. Para resolver esse problema, um recurso de rastreamento de rota estática é usado para rastrear a disponibilidade de uma rota estática e, se essa rota falhar, removê-la da tabela de roteamento e substituí-la por uma rota alternativa.

Este documento fornece um exemplo de como usar o recurso de rastreamento de rota estática no PIX 500 Series Security Appliance ou no ASA 5500 Series Adaptive Security Appliance para permitir que o dispositivo use conexões de Internet redundantes ou de backup. Neste exemplo, o rastreamento de rota estática permite que o Security Appliance use uma conexão de baixo custo com um ISP secundário caso a linha alugada primária fique indisponível.

Para atingir essa redundância, o Security Appliance associa uma rota estática a um destino de monitoramento definido por você. A operação do contrato de nível de serviço (SLA) monitora o destino com solicitações de eco periódicas do protocolo ICMP. Se uma resposta de eco não for recebida, o objeto será considerado inativo e a rota associada será removida da tabela de roteamento. Uma rota de backup configurada anteriormente é usada no lugar da rota removida. Enquanto a rota de backup estiver em uso, a operação do monitor de SLA continuará tentando alcançar o destino de monitoramento. Quando o destino estiver disponível novamente, a primeira rota será substituída na tabela de roteamento e a rota de backup será removida.

Observação: a configuração descrita neste documento não pode ser usada para balanceamento de carga ou compartilhamento de carga, pois não é suportada no ASA/PIX . Use essa configuração somente para fins de redundância ou backup. O tráfego de saída usa o ISP primário e, em seguida, o ISP secundário, se o primário falhar. A falha do ISP principal causa uma interrupção temporária do tráfego.

Pré-requisitos

Requisitos

Escolha um destino de monitoramento que possa responder às solicitações de eco ICMP. O destino pode ser qualquer objeto de rede que você escolher, mas um destino que esteja intimamente ligado à sua conexão do ISP é recomendado. Alguns alvos de monitoramento possíveis incluem:

O endereço de gateway do ISP
Outro endereço gerenciado por ISP
Um servidor em outra rede, como um servidor AAA, com o qual o Security Appliance precisa se comunicar
Um objeto de rede persistente em outra rede (um computador desktop ou notebook que você pode desligar à noite não é uma boa opção)

Este documento pressupõe que o Security Appliance esteja totalmente operacional e configurado para permitir que o Cisco ASDM faça alterações de configuração.

Observação: Para obter informações sobre como permitir que o ASDM configure o dispositivo, consulte Permitindo o Acesso HTTPS para o ASDM.

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

Cisco PIX Security Appliance 515E com versão de software 7.2(1) ou posterior
Cisco Adaptive Security Device Manager 5.2(1) ou posterior

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

Produtos Relacionados

Você também pode usar essa configuração com o Cisco ASA 5500 Series Security Appliance versão 7.2(1).

Observação: o comando backup interface é necessário para configurar a quarta interface no ASA 5505. Consulte a interface de backup para obter mais informações.

Conventions

Para obter mais informações sobre convenções de documentos, consulte as Convenções de Dicas Técnicas da Cisco.

Informações de Apoio

Neste exemplo, o Security Appliance mantém duas conexões com a Internet. A primeira conexão é uma linha alugada de alta velocidade que é acessada através de um roteador fornecido pelo ISP principal. A segunda conexão é uma linha de linha digital de assinante (DSL - Digital Subscriber Line) de menor velocidade que é acessada por meio de um modem DSL fornecido pelo ISP secundário.

Observação: o balanceamento de carga não ocorre neste exemplo.

A conexão DSL permanecerá ociosa enquanto a linha alugada estiver ativa e o gateway principal do ISP estiver acessível. No entanto, se a conexão com o ISP principal cair, o Security Appliance mudará a tabela de roteamento para direcionar o tráfego para a conexão DSL. O rastreamento de rota estática é usado para obter essa redundância.

O Security Appliance é configurado com uma rota estática que direciona todo o tráfego da Internet para o ISP principal. A cada 10 segundos, o processo do monitor de SLA verifica se o gateway principal do ISP está acessível. Se o processo do monitor de SLA determinar que o gateway principal do ISP não está acessível, a rota estática que direciona o tráfego para essa interface será removida da tabela de roteamento. Para substituir essa rota estática, uma rota estática alternativa que direciona o tráfego para o ISP secundário é instalada. Essa rota estática alternativa direciona o tráfego para o ISP secundário através do modem DSL até que o link para o ISP primário esteja acessível.

Essa configuração oferece uma maneira relativamente barata de garantir que o acesso de saída à Internet permaneça disponível para os usuários por trás do Security Appliance. Conforme descrito neste documento, essa configuração pode não ser adequada para acesso de entrada a recursos por trás do Security Appliance. Habilidades de rede avançadas são necessárias para obter conexões de entrada contínuas. Essas habilidades não são abordadas neste documento.

Configurar

Nesta seção, você encontrará informações para configurar os recursos descritos neste documento.

Observação: os endereços IP usados nesta configuração não são legalmente roteáveis na Internet. São endereços RFC 1918 usados em um ambiente de laboratório.

Diagrama de Rede

Este documento utiliza a seguinte configuração de rede:

Configurações

Este documento utiliza as seguintes configurações:

Interface de linha de comando (CLI)
Adaptive Security Device Manager (ASDM)

Nota: Use a Command Lookup Tool (somente clientes registrados) para obter mais informações sobre os comandos usados nesta seção.

Configuração de CLI

PIX
pix# show running-config : Saved : PIX Version 7.2(1) ! hostname pix domain-name default.domain.invalid enable password 9jNfZuG3TC5tCVH0 encrypted names ! interface Ethernet0 nameif outside security-level 0 ip address 10.200.159.2 255.255.255.248 ! interface Ethernet1 nameif backup !--- The interface attached to the Secondary ISP. !--- "backup" was chosen here, but any name can be assigned. security-level 0 ip address 10.250.250.2 255.255.255.248 ! interface Ethernet2 nameif inside security-level 100 ip address 172.22.1.163 255.255.255.0 ! interface Ethernet3 shutdown no nameif no security-level no ip address ! interface Ethernet4 shutdown no nameif no security-level no ip address ! interface Ethernet5 shutdown no nameif no security-level no ip address ! passwd 2KFQnbNIdI.2KYOU encrypted ftp mode passive dns server-group DefaultDNS domain-name default.domain.invalid pager lines 24 logging enable logging buffered debugging mtu outside 1500 mtu backup 1500 mtu inside 1500 no failover asdm image flash:/asdm521.bin no asdm history enable arp timeout 14400 global (outside) 1 interface global (backup) 1 interface nat (inside) 1 172.16.1.0 255.255.255.0 !--- NAT Configuration for Outside and Backup route outside 0.0.0.0 0.0.0.0 10.200.159.1 1 track 1 !--- Enter this command in order to track a static route. !--- This is the static route to be installed in the routing !--- table while the tracked object is reachable. The value after !--- the keyword "track" is a tracking ID you specify. route backup 0.0.0.0 0.0.0.0 10.250.250.1 254 !--- Define the backup route to use when the tracked object is unavailable. !--- The administrative distance of the backup route must be greater than !--- the administrative distance of the tracked route. !--- If the primary gateway is unreachable, that route is removed !--- and the backup route is installed in the routing table !--- instead of the tracked route. timeout xlate 3:00:00 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00 timeout uauth 0:05:00 absolute username cisco password ffIRPGpDSOJh9YLq encrypted http server enable http 172.22.1.0 255.255.255.0 inside no snmp-server location no snmp-server contact snmp-server enable traps snmp authentication linkup linkdown coldstart sla monitor 123 type echo protocol ipIcmpEcho 10.0.0.1 interface outside num-packets 3 frequency 10 !--- Configure a new monitoring process with the ID 123. Specify the !--- monitoring protocol and the target network object whose availability the tracking !--- process monitors. Specify the number of packets to be sent with each poll. !--- Specify the rate at which the monitor process repeats (in seconds). sla monitor schedule 123 life forever start-time now !--- Schedule the monitoring process. In this case the lifetime !--- of the process is specified to be forever. The process is scheduled to begin !--- at the time this command is entered. As configured, this command allows the !--- monitoring configuration specified above to determine how often the testing !--- occurs. However, you can schedule this monitoring process to begin in the !--- future and to only occur at specified times. ! track 1 rtr 123 reachability !--- Associate a tracked static route with the SLA monitoring process. !--- The track ID corresponds to the track ID given to the static route to monitor: !--- route outside 0.0.0.0 0.0.0.0 10.0.0.2 1 track 1 !--- "rtr" = Response Time Reporter entry. 123 is the ID of the SLA process !--- defined above. telnet timeout 5 ssh timeout 5 console timeout 0 ! class-map inspection_default match default-inspection-traffic ! ! policy-map type inspect dns preset_dns_map parameters message-length maximum 512 policy-map global_policy class inspection_default inspect dns preset_dns_map inspect ftp inspect h323 h225 inspect h323 ras inspect netbios inspect rsh inspect rtsp inspect skinny inspect esmtp inspect sqlnet inspect sunrpc inspect tftp inspect sip inspect xdmcp ! service-policy global_policy global prompt hostname context Cryptochecksum:a4a0e9be4593ad43bc17a1cc25e32dc2 : end

PIX

pix# show running-config
: Saved
:
PIX Version 7.2(1)
!
hostname pix
domain-name default.domain.invalid
enable password 9jNfZuG3TC5tCVH0 encrypted
names
!
interface Ethernet0
 nameif outside
 security-level 0
 ip address 10.200.159.2 255.255.255.248
!
interface Ethernet1
 nameif backup

!--- The interface attached to the Secondary ISP. !--- "backup" was chosen here, but any name can be assigned.

 security-level 0
 ip address 10.250.250.2 255.255.255.248
!
interface Ethernet2
 nameif inside
 security-level 100
 ip address 172.22.1.163 255.255.255.0
!
interface Ethernet3
 shutdown
 no nameif
 no security-level
 no ip address
!
interface Ethernet4
 shutdown
 no nameif
 no security-level
 no ip address
!
interface Ethernet5
 shutdown
 no nameif
 no security-level
 no ip address
!
passwd 2KFQnbNIdI.2KYOU encrypted
ftp mode passive
dns server-group DefaultDNS
 domain-name default.domain.invalid
pager lines 24
logging enable
logging buffered debugging
mtu outside 1500
mtu backup 1500
mtu inside 1500
no failover
asdm image flash:/asdm521.bin
no asdm history enable
arp timeout 14400

global (outside) 1 interface
global (backup) 1 interface
nat (inside) 1 172.16.1.0 255.255.255.0

!--- NAT Configuration for Outside and Backup

route outside 0.0.0.0 0.0.0.0 10.200.159.1 1 track 1

!--- Enter this command in order to track a static route. !--- This is the static route to be installed in the routing !--- table while the tracked object is reachable. The value after !--- the keyword "track" is a tracking ID you specify. 

route backup 0.0.0.0 0.0.0.0 10.250.250.1 254

!--- Define the backup route to use when the tracked object is unavailable. !--- The administrative distance of the backup route must be greater than !--- the administrative distance of the tracked route. !--- If the primary gateway is unreachable, that route is removed !--- and the backup route is installed in the routing table !--- instead of the tracked route. 

timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
username cisco password ffIRPGpDSOJh9YLq encrypted
http server enable
http 172.22.1.0 255.255.255.0 inside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart

sla monitor 123
 type echo protocol ipIcmpEcho 10.0.0.1 interface outside
 num-packets 3
 frequency 10

!--- Configure a new monitoring process with the ID 123. Specify the !--- monitoring protocol and the target network object whose availability the tracking !--- process monitors. Specify the number of packets to be sent with each poll. !--- Specify the rate at which the monitor process repeats (in seconds).

sla monitor schedule 123 life forever start-time now

!--- Schedule the monitoring process. In this case the lifetime !--- of the process is specified to be forever. The process is scheduled to begin !--- at the time this command is entered. As configured, this command allows the !--- monitoring configuration specified above to determine how often the testing !--- occurs. However, you can schedule this monitoring process to begin in the !--- future and to only occur at specified times.

!
track 1 rtr 123 reachability

!--- Associate a tracked static route with the SLA monitoring process. !--- The track ID corresponds to the track ID given to the static route to monitor: !--- route outside 0.0.0.0 0.0.0.0 10.0.0.2 1 track 1 !--- "rtr" = Response Time Reporter entry. 123 is the ID of the SLA process !--- defined above. 

telnet timeout 5
ssh timeout 5
console timeout 0
!
class-map inspection_default
 match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
 parameters
  message-length maximum 512
policy-map global_policy
 class inspection_default
  inspect dns preset_dns_map
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect netbios
  inspect rsh
  inspect rtsp
  inspect skinny
  inspect esmtp
  inspect sqlnet
  inspect sunrpc
  inspect tftp
  inspect sip
  inspect xdmcp
!
service-policy global_policy global
prompt hostname context
Cryptochecksum:a4a0e9be4593ad43bc17a1cc25e32dc2
: end

Configuração do ASDM

Para configurar o suporte ISP redundante ou de backup com o aplicativo ASDM, siga estas etapas:

No aplicativo ASDM, clique em Configuration e em Interfaces.
Na lista Interfaces, selecione Ethernet0 e clique em Edit.

Essa caixa de diálogo é exibida.
Marque a caixa de seleção Enable Interface e insira valores nos campos Interface Name, Security Level, IP Address e Subnet Mask.
Clique em OK para fechar a caixa de diálogo.
Configure outras interfaces conforme necessário e clique em Apply para atualizar a configuração do Security Appliance.
Clique em Routing no lado esquerdo da aplicação ASDM.
Clique em Add para adicionar as novas rotas estáticas.

Essa caixa de diálogo é exibida.
Na lista suspensa Nome da interface, escolha a interface em que a rota reside e configure a rota padrão para acessar o gateway. Neste exemplo, 10.0.0.1 é o gateway principal do ISP, bem como o objeto a ser monitorado com ecos ICMP.
Na área Opções, clique no botão de opção Rastreado e insira valores nos campos ID do controle, ID do SLA e Rastrear endereço IP.
Clique em Monitoring Options.

Essa caixa de diálogo é exibida.
Insira valores para frequência e outras opções de monitoramento e clique em OK.
Adicione outra rota estática para o ISP secundário para fornecer uma rota para acessar a Internet.

Para torná-la uma rota secundária, configure essa rota com uma métrica mais alta, como 254. Se a rota primária (ISP primário) falhar, essa rota será removida da tabela de roteamento. Em vez disso, essa rota secundária (ISP secundário) é instalada na tabela de roteamento do PIX.
Clique em OK para fechar a caixa de diálogo.

As configurações são exibidas na lista Interface.
Selecione a configuração de roteamento e clique em Apply para atualizar a configuração do Security Appliance.

Verificar

Use esta seção para confirmar se a sua configuração funciona corretamente.

Confirme se a configuração foi concluída

Use estes comandos show para verificar se sua configuração foi concluída.

A Output Interpreter Tool ( somente clientes registrados) (OIT) oferece suporte a determinados comandos show. Use a OIT para exibir uma análise da saída do comando show.

show running-config sla monitor — Exibe os comandos SLA na configuração.

pix# show running-config sla monitor
sla monitor 123
 type echo protocol ipIcmpEcho 10.0.0.1 interface outside
 num-packets 3
 frequency 10
sla monitor schedule 123 life forever start-time now

show sla monitor configuration — Exibe as definições de configuração atuais da operação.

pix# show sla monitor configuration 123
IP SLA Monitor, Infrastructure Engine-II.
Entry number: 123
Owner:
Tag:
Type of operation to perform: echo
Target address: 10.0.0.1
Interface: outside
Number of packets: 3
Request size (ARR data portion): 28
Operation timeout (milliseconds): 5000
Type Of Service parameters: 0x0
Verify data: No
Operation frequency (seconds): 10
Next Scheduled Start Time: Start Time already passed
Group Scheduled : FALSE
Life (seconds): Forever
Entry Ageout (seconds): never
Recurring (Starting Everyday): FALSE
Status of entry (SNMP RowStatus): Active
Enhanced History:

show sla monitor operational-state — Exibe as estatísticas operacionais da operação do SLA.

Antes de o ISP principal falhar, este é o estado operacional:

pix# show sla monitor operational-state 123
Entry number: 123
Modification time: 13:59:37.824 UTC Thu Oct 12 2006
Number of Octets Used by this Entry: 1480
Number of operations attempted: 367
Number of operations skipped: 0
Current seconds left in Life: Forever
Operational state of entry: Active
Last time this entry was reset: Never
Connection loss occurred: FALSE
Timeout occurred: FALSE
Over thresholds occurred: FALSE
Latest RTT (milliseconds): 1
Latest operation start time: 15:00:37.825 UTC Thu Oct 12 2006
Latest operation return code: OK
RTT Values:
RTTAvg: 1       RTTMin: 1       RTTMax: 1
NumOfRTT: 3     RTTSum: 3       RTTSum2: 3

Após a falha do ISP principal (e o timeout de eco ICMP), este é o estado operacional:

pix# show sla monitor operational-state
Entry number: 123
Modification time: 13:59:37.825 UTC Thu Oct 12 2006
Number of Octets Used by this Entry: 1480
Number of operations attempted: 385
Number of operations skipped: 0
Current seconds left in Life: Forever
Operational state of entry: Active
Last time this entry was reset: Never
Connection loss occurred: FALSE
Timeout occurred: TRUE
Over thresholds occurred: FALSE
Latest RTT (milliseconds): NoConnection/Busy/Timeout
Latest operation start time: 15:03:27.825 UTC Thu Oct 12 2006
Latest operation return code: Timeout
RTT Values:
RTTAvg: 0       RTTMin: 0       RTTMax: 0
NumOfRTT: 0     RTTSum: 0       RTTSum2: 0

Confirmar se a rota de backup está instalada (método CLI)

Use o comando show route para determinar quando a rota de backup está instalada.

Antes de o ISP principal falhar, esta é a tabela de roteamento:

pix# show route

Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
       i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
       * - candidate default, U - per-user static route, o - ODR
       P - periodic downloaded static route

Gateway of last resort is 10.200.159.1 to network 0.0.0.0

S    64.101.0.0 255.255.0.0 [1/0] via 172.22.1.1, inside
C    172.22.1.0 255.255.255.0 is directly connected, inside
C    10.250.250.0 255.255.255.248 is directly connected, backup
C    10.200.159.0 255.255.255.248 is directly connected, outside
S*   0.0.0.0 0.0.0.0 [1/0] via 10.200.159.1, outside

Após a falha do ISP principal, a rota estática é removida e a rota de backup é instalada, esta é a tabela de roteamento:

pix(config)# show route

Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
       i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
       * - candidate default, U - per-user static route, o - ODR
       P - periodic downloaded static route

Gateway of last resort is 10.250.250.1 to network 0.0.0.0

S    64.101.0.0 255.255.0.0 [1/0] via 172.22.1.1, inside
C    172.22.1.0 255.255.255.0 is directly connected, inside
C    10.250.250.0 255.255.255.248 is directly connected, backup
C    10.200.159.0 255.255.255.248 is directly connected, outside
S*   0.0.0.0 0.0.0.0 [254/0] via 10.250.250.1, backup

Confirmar se a rota de backup está instalada (método ASDM)

Para confirmar com o ASDM que a rota de backup está instalada, siga estas etapas:

Clique em Monitoring e em Routing.
Na árvore Roteamento, escolha Rotas.
- Antes de o ISP principal falhar, esta é a tabela de roteamento:
  
  A rota DEFAULT aponta para 10.0.0.2 através da interface externa.
- Depois que o ISP principal falha, a rota é removida e a rota de backup é instalada. A rota PADRÃO agora aponta para 10.250.250.1 através da interface de backup.

Troubleshooting

Comandos debug

debug sla monitor trace — Exibe o progresso da operação de eco.

O objeto rastreado (gateway principal do ISP) está ativo e os ecos ICMP foram bem-sucedidos.

IP SLA Monitor(123) Scheduler: Starting an operation
IP SLA Monitor(123) echo operation: Sending an echo operation
IP SLA Monitor(123) echo operation: RTT=3 OK
IP SLA Monitor(123) echo operation: RTT=3 OK
IP SLA Monitor(123) echo operation: RTT=4 OK
IP SLA Monitor(123) Scheduler: Updating result

O objeto rastreado (gateway principal do ISP) está inoperante e os ecos ICMP falham.

IP SLA Monitor(123) Scheduler: Starting an operation
IP SLA Monitor(123) echo operation: Sending an echo operation
IP SLA Monitor(123) echo operation: Timeout
IP SLA Monitor(123) echo operation: Timeout
IP SLA Monitor(123) echo operation: Timeout
IP SLA Monitor(123) Scheduler: Updating result

debug sla monitor error — Exibe os erros que o processo do monitor de SLA encontra.

O objeto rastreado (gateway principal do ISP) está ativo e o ICMP tem êxito.

%PIX-7-609001: Built local-host NP Identity Ifc:10.200.159.2
%PIX-7-609001: Built local-host outside:10.0.0.1
%PIX-6-302020: Built ICMP connection for faddr 10.0.0.1/0 gaddr 
               10.200.159.2/52696 laddr 10.200.159.2/52696
%PIX-6-302021: Teardown ICMP connection for faddr 10.0.0.1/0 gaddr 
               10.200.159.2/52696 laddr 10.200.159.2/52696
%PIX-7-609002: Teardown local-host NP Identity Ifc:10.200.159.2 duration 
               0:00:00
%PIX-7-609002: Teardown local-host outside:10.0.0.1 duration 0:00:00
%PIX-7-609001: Built local-host NP Identity Ifc:10.200.159.2
%PIX-7-609001: Built local-host outside:10.0.0.1
%PIX-6-302020: Built ICMP connection for faddr 10.0.0.1/0 gaddr 
               0.200.159.2/52697 laddr 10.200.159.2/52697
%PIX-6-302021: Teardown ICMP connection for faddr 10.0.0.1/0 gaddr 
               10.200.159.2/52697 laddr 10.200.159.2/52697
%PIX-7-609002: Teardown local-host NP Identity Ifc:10.200.159.2 
               duration 0:00:00
%PIX-7-609002: Teardown local-host outside:10.0.0.1 duration 0:00:00

O objeto rastreado (gateway principal do ISP) está inoperante e a rota rastreada foi removida.

%PIX-7-609001: Built local-host NP Identity Ifc:10.200.159.2
%PIX-7-609001: Built local-host outside:10.0.0.1
%PIX-6-302020: Built ICMP connection for faddr 10.0.0.1/0 gaddr 
               10.200.159.2/6405 laddr 10.200.159.2/6405
%PIX-6-302020: Built ICMP connection for faddr 10.0.0.1/0 gaddr  
               10.200.159.2/6406 laddr 10.200.159.2/6406
%PIX-6-302020: Built ICMP connection for faddr 10.0.0.1/0 gaddr  
               10.200.159.2/6407 laddr 10.200.159.2/6407
%PIX-6-302021: Teardown ICMP connection for faddr 10.0.0.1/0 gaddr  
               10.200.159.2/6405 laddr 10.200.159.2/6405
%PIX-6-302021: Teardown ICMP connection for faddr 10.0.0.1/0 gaddr  
               10.200.159.2/6406 laddr 10.200.159.2/6406
%PIX-6-302021: Teardown ICMP connection for faddr 10.0.0.1/0 gaddr  
               10.200.159.2/6407 laddr 10.200.159.2/6407
%PIX-7-609002: Teardown local-host NP Identity Ifc:10.200.159.2 
               duration 0:00:02
%PIX-7-609002: Teardown local-host outside:10.0.0.1 duration 0:00:02
%PIX-6-622001: Removing tracked route 0.0.0.0 0.0.0.0 10.200.159.1,  
               distance 1, table Default-IP-Routing-Table, on interface 
               outside

!--- 10.0.0.1 is unreachable, so the route to the Primary ISP is removed.

A rota rastreada é removida desnecessariamente

Se a rota rastreada for removida desnecessariamente, certifique-se de que o alvo de monitoramento esteja sempre disponível para receber solicitações de eco. Além disso, verifique se o estado do seu destino de monitoramento (isto é, se o destino pode ou não ser alcançado) está intimamente ligado ao estado da conexão principal do ISP.

Se você escolher um destino de monitoramento que esteja mais distante do que o gateway do ISP, outro link ao longo dessa rota poderá falhar ou outro dispositivo poderá interferir. Essa configuração pode fazer com que o monitor de SLA conclua que a conexão com o ISP primário falhou e fazer com que o Security Appliance realize desnecessariamente o failover para o link do ISP secundário.

Por exemplo, se você escolher um roteador de filial como destino de monitoramento, a conexão do ISP com a filial poderá falhar, assim como qualquer outro link ao longo do caminho. Quando os ecos ICMP enviados pela operação de monitoramento falharem, a rota principal rastreada será removida, mesmo que o link principal do ISP ainda esteja ativo.

Neste exemplo, o gateway principal do ISP usado como destino de monitoramento é gerenciado pelo ISP e está localizado no outro lado do link do ISP. Essa configuração garante que, se os ecos ICMP enviados pela operação de monitoramento falharem, o link do ISP estará quase certamente inoperante.

Monitoramento de SLA no ASA

Problema:

O monitoramento de SLA não funciona depois que o ASA é atualizado para a versão 8.0.

Solução:

O problema possivelmente é devido ao comando IP Reverse-Path configurado na interface OUTSIDE. Remova o comando no ASA e tente verificar o Monitoramento de SLA.

Informações Relacionadas

Histórico de revisões

Revisão	Data de publicação	Comentários
1.0	26-Jun-2006	Versão inicial

ASA/PIX 7.x: Exemplo de Configuração de Links ISP Redundantes ou de Backup

Opções de download

Linguagem imparcial

Sobre esta tradução

Contents

Histórico de revisões

Este documento lhe foi útil?

Contate a Cisco

Este documento se refere a estes produtos