ASA/PIX 7.x：冗餘或備份ISP鏈路配置示例

簡介

靜態路由的一個問題是不存在確定路由是啟動還是關閉的固有機制。即使下一跳網關不可用，路由仍保留在路由表中。僅當安全裝置上的關聯介面發生故障時，才會從路由表中刪除靜態路由。為了解決此問題，可使用靜態路由跟蹤功能來跟蹤靜態路由的可用性，如果該路由出現故障，則將其從路由表中刪除並替換為備用路由。

本文檔提供了有關如何使用PIX 500系列安全裝置或ASA 5500系列自適應安全裝置上的靜態路由跟蹤功能以使裝置能夠使用冗餘或備份網際網路連線的示例。在本示例中，靜態路由跟蹤允許安全裝置在主要租用線路不可用時使用到輔助網際網路服務提供商(ISP)的廉價連線。

為了實現此冗餘，安全裝置將靜態路由與您定義的監控目標相關聯。服務等級協定(SLA)作業會定期使用網際網路控制訊息協定(ICMP)回應要求來監控目標。如果未收到回應應答，則會將該對象視為關閉，並從路由表中刪除關聯的路由。使用之前配置的備份路由來代替被刪除的路由。使用備份路由時，SLA監控操作將繼續嘗試到達監控目標。目標再次可用後，路由表中的第一條路由將被替換，備份路由將被刪除。

注意：本文檔中介紹的配置不能用於負載均衡或負載共用，因為ASA/PIX不支援該配置。此配置僅用於冗餘或備份目的。如果主要網路發生故障，則傳出流量使用主要ISP，然後使用輔助ISP。主ISP故障會導致流量暫時中斷。

必要條件

需求

選擇可以響應ICMP響應請求的監控目標。目標可以是您選擇的任何網路對象，但推薦的目標與您的ISP連線密切相關。一些可能的監測目標包括：

• ISP網關地址

• 另一個ISP管理的地址

• 安全裝置需要與之通訊的另一網路上的伺服器，例如AAA伺服器

• 其他網路上的持續性網路物件（夜間可以關閉的桌上型或筆記型電腦不是很好的選擇）

本文檔假定安全裝置完全運行並配置為允許Cisco ASDM進行配置更改。

注意：有關如何允許ASDM配置裝置的資訊，請參閱允許ASDM進行HTTPS訪問。

採用元件

本文中的資訊係根據以下軟體和硬體版本：

• Cisco PIX安全裝置515E，帶軟體版本7.2(1)或更高版本

• 思科自適應安全裝置管理器5.2(1)或更高版本

本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除（預設）的組態來啟動。如果您的網路正在作用，請確保您已瞭解任何指令可能造成的影響。

相關產品

您也可以將此配置用於Cisco ASA 5500系列安全裝置版本7.2(1)。

注意：需要使用backup interface命令來配置ASA 5505上的第四個介面。有關詳細資訊，請參閱備份介面。

慣例

如需檔案慣例的詳細資訊，請參閱思科技術提示慣例。

背景資訊

在本示例中，安全裝置與網際網路保持兩個連線。第一個連線是透過主要ISP提供的路由器訪問的高速租用線路。第二個連線是透過輔助ISP提供的DSL數據機訪問的低速數字使用者線路(DSL)線路。

注意：本示例中不會執行負載均衡。

只要租用線路處於活動狀態，並且主ISP網關可訪問，DSL連線就會處於空閒狀態。但是，如果與主ISP的連線斷開，安全裝置會將路由表更改為將流量定向到DSL連線。靜態路由跟蹤用於實現這種冗餘。

安全裝置配置有靜態路由，可將所有Internet流量定向到主ISP。SLA監控進程每10秒檢查一次，以確認主ISP網關可訪問。如果SLA監控進程確定無法到達主ISP網關，則路由表中會刪除將流量定向到該介面的靜態路由。為了替換該靜態路由，安裝了一條將流量定向到輔助ISP的備用靜態路由。此備用靜態路由透過DSL數據機將流量定向到輔助ISP，直到通向主ISP的鏈路可到達為止。

此配置提供了一種相對便宜的方法，可確保出站網際網路訪問對於安全裝置後面的使用者仍然可用。如本文檔所述，此設定可能不適合對安全裝置後面的資源的入站訪問。要實現無縫的入站連線，需要具備高級網路技能。本檔案不涵蓋這些技能。

設定

本節提供用於設定本文件中所述功能的資訊。

注意：此配置中使用的IP地址在Internet上不能合法路由。這些地址是在實驗室環境中使用的RFC 1918地址。

網路圖表

此文件使用以下網路設定：

組態

本檔案使用下列組態：

• 命令列介面(CLI)

• 調適型安全裝置管理員(ASDM)

注意：使用命令查詢工具(僅限註冊客戶)可獲取有關此部分使用的命令的更多資訊。

CLI配置

pix# show running-config
: Saved
:
PIX Version 7.2(1)
!
hostname pix
domain-name default.domain.invalid
enable password 9jNfZuG3TC5tCVH0 encrypted
names
!
interface Ethernet0
 nameif outside
 security-level 0
 ip address 10.200.159.2 255.255.255.248
!
interface Ethernet1
 nameif backup

!--- The interface attached to the Secondary ISP. !--- "backup" was chosen here, but any name can be assigned.

 security-level 0
 ip address 10.250.250.2 255.255.255.248
!
interface Ethernet2
 nameif inside
 security-level 100
 ip address 172.22.1.163 255.255.255.0
!
interface Ethernet3
 shutdown
 no nameif
 no security-level
 no ip address
!
interface Ethernet4
 shutdown
 no nameif
 no security-level
 no ip address
!
interface Ethernet5
 shutdown
 no nameif
 no security-level
 no ip address
!
passwd 2KFQnbNIdI.2KYOU encrypted
ftp mode passive
dns server-group DefaultDNS
 domain-name default.domain.invalid
pager lines 24
logging enable
logging buffered debugging
mtu outside 1500
mtu backup 1500
mtu inside 1500
no failover
asdm image flash:/asdm521.bin
no asdm history enable
arp timeout 14400

global (outside) 1 interface
global (backup) 1 interface
nat (inside) 1 172.16.1.0 255.255.255.0

!--- NAT Configuration for Outside and Backup

route outside 0.0.0.0 0.0.0.0 10.200.159.1 1 track 1

!--- Enter this command in order to track a static route. !--- This is the static route to be installed in the routing !--- table while the tracked object is reachable. The value after !--- the keyword "track" is a tracking ID you specify. 

route backup 0.0.0.0 0.0.0.0 10.250.250.1 254

!--- Define the backup route to use when the tracked object is unavailable. !--- The administrative distance of the backup route must be greater than !--- the administrative distance of the tracked route. !--- If the primary gateway is unreachable, that route is removed !--- and the backup route is installed in the routing table !--- instead of the tracked route. 

timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
username cisco password ffIRPGpDSOJh9YLq encrypted
http server enable
http 172.22.1.0 255.255.255.0 inside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart

sla monitor 123
 type echo protocol ipIcmpEcho 10.0.0.1 interface outside
 num-packets 3
 frequency 10

!--- Configure a new monitoring process with the ID 123. Specify the !--- monitoring protocol and the target network object whose availability the tracking !--- process monitors. Specify the number of packets to be sent with each poll. !--- Specify the rate at which the monitor process repeats (in seconds).

sla monitor schedule 123 life forever start-time now

!--- Schedule the monitoring process. In this case the lifetime !--- of the process is specified to be forever. The process is scheduled to begin !--- at the time this command is entered. As configured, this command allows the !--- monitoring configuration specified above to determine how often the testing !--- occurs. However, you can schedule this monitoring process to begin in the !--- future and to only occur at specified times.

!
track 1 rtr 123 reachability

!--- Associate a tracked static route with the SLA monitoring process. !--- The track ID corresponds to the track ID given to the static route to monitor: !--- route outside 0.0.0.0 0.0.0.0 10.0.0.2 1 track 1 !--- "rtr" = Response Time Reporter entry. 123 is the ID of the SLA process !--- defined above. 

telnet timeout 5
ssh timeout 5
console timeout 0
!
class-map inspection_default
 match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
 parameters
  message-length maximum 512
policy-map global_policy
 class inspection_default
  inspect dns preset_dns_map
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect netbios
  inspect rsh
  inspect rtsp
  inspect skinny
  inspect esmtp
  inspect sqlnet
  inspect sunrpc
  inspect tftp
  inspect sip
  inspect xdmcp
!
service-policy global_policy global
prompt hostname context
Cryptochecksum:a4a0e9be4593ad43bc17a1cc25e32dc2
: end

ASDM配置

要使用ASDM應用程式配置冗餘或備份ISP支援，請完成以下步驟：

1. 在ASDM應用程式中，按一下Configuration，然後按一下Interfaces。

   

2. 從Interfaces清單中，選擇Ethernet0，然後按一下Edit。

   此通話方塊出現。

   

3. 選中Enable Interface覈取方塊，並在Interface Name、Security Level、IP Address和Subnet Mask欄位中輸入值。

4. 按一下OK關閉對話方塊。

5. 根據需要配置其他介面，然後按一下Apply更新安全裝置配置。

   

6. 按一下ASDM應用程式左側的Routing。

   

7. 按一下Add以增加新的靜態路由。

   此通話方塊出現。

   

8. 從Interface Name下拉選單中，選擇路由所在的介面，並配置到達網關的預設路由。在本例中，10.0.0.1是主ISP網關，也是使用ICMP回應監控的對象。

9. 在Options區域中，按一下Tracked單選按鈕，並在Track ID、SLA ID和Track IP Address欄位中輸入值。

10. 按一下Monitoring Options。

    此通話方塊出現。

    

11. 輸入頻率和其他監控選項的值，然後按一下OK。

12. 為輔助ISP增加另一條靜態路由，以提供到達Internet的路由。

    要使其成為輔助路由，請用更高的度量配置此路由，例如254。如果主路由（主ISP）發生故障，該路由將從路由表中刪除。此輔助路由（輔助ISP）安裝在PIX路由表中。

13. 按一下OK關閉對話方塊。

    

    配置將顯示在介面清單中。

    

14. 選擇路由配置，然後按一下Apply更新安全裝置配置。

驗證

使用本節內容，確認您的組態是否正常運作。

確認配置已完成

使用以下這些show命令驗證配置是否完整。

輸出直譯器工具(僅供註冊客戶使用) (OIT)支援某些show指令。使用OIT檢視對show命令輸出的分析。

• show running-config sla monitor— 顯示配置中的SLA命令。

  pix# show running-config sla monitor
  sla monitor 123
   type echo protocol ipIcmpEcho 10.0.0.1 interface outside
   num-packets 3
   frequency 10
  sla monitor schedule 123 life forever start-time now
  

• show sla monitor configuration — 顯示操作的當前配置設定。

  pix# show sla monitor configuration 123
  IP SLA Monitor, Infrastructure Engine-II.
  Entry number: 123
  Owner:
  Tag:
  Type of operation to perform: echo
  Target address: 10.0.0.1
  Interface: outside
  Number of packets: 3
  Request size (ARR data portion): 28
  Operation timeout (milliseconds): 5000
  Type Of Service parameters: 0x0
  Verify data: No
  Operation frequency (seconds): 10
  Next Scheduled Start Time: Start Time already passed
  Group Scheduled : FALSE
  Life (seconds): Forever
  Entry Ageout (seconds): never
  Recurring (Starting Everyday): FALSE
  Status of entry (SNMP RowStatus): Active
  Enhanced History:

• show sla monitor operational-state— 顯示SLA操作的運行統計資訊。

  • 在主ISP發生故障之前，這是運行狀態：

    pix# show sla monitor operational-state 123
    Entry number: 123
    Modification time: 13:59:37.824 UTC Thu Oct 12 2006
    Number of Octets Used by this Entry: 1480
    Number of operations attempted: 367
    Number of operations skipped: 0
    Current seconds left in Life: Forever
    Operational state of entry: Active
    Last time this entry was reset: Never
    Connection loss occurred: FALSE
    Timeout occurred: FALSE
    Over thresholds occurred: FALSE
    Latest RTT (milliseconds): 1
    Latest operation start time: 15:00:37.825 UTC Thu Oct 12 2006
    Latest operation return code: OK
    RTT Values:
    RTTAvg: 1       RTTMin: 1       RTTMax: 1
    NumOfRTT: 3     RTTSum: 3       RTTSum2: 3

  • 在主ISP發生故障（並且ICMP響應超時）後，這是運行狀態：

    pix# show sla monitor operational-state
    Entry number: 123
    Modification time: 13:59:37.825 UTC Thu Oct 12 2006
    Number of Octets Used by this Entry: 1480
    Number of operations attempted: 385
    Number of operations skipped: 0
    Current seconds left in Life: Forever
    Operational state of entry: Active
    Last time this entry was reset: Never
    Connection loss occurred: FALSE
    Timeout occurred: TRUE
    Over thresholds occurred: FALSE
    Latest RTT (milliseconds): NoConnection/Busy/Timeout
    Latest operation start time: 15:03:27.825 UTC Thu Oct 12 2006
    Latest operation return code: Timeout
    RTT Values:
    RTTAvg: 0       RTTMin: 0       RTTMax: 0
    NumOfRTT: 0     RTTSum: 0       RTTSum2: 0
    

確認已安裝備份路由（CLI方法）

使用show route命令確定安裝備份路由的時間。

• 在主ISP發生故障之前，路由表如下：

  pix# show route
  
  Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
         D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
         N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
         E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
         i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
         * - candidate default, U - per-user static route, o - ODR
         P - periodic downloaded static route
  
  Gateway of last resort is 10.200.159.1 to network 0.0.0.0
  
  S    64.101.0.0 255.255.0.0 [1/0] via 172.22.1.1, inside
  C    172.22.1.0 255.255.255.0 is directly connected, inside
  C    10.250.250.0 255.255.255.248 is directly connected, backup
  C    10.200.159.0 255.255.255.248 is directly connected, outside
  S*   0.0.0.0 0.0.0.0 [1/0] via 10.200.159.1, outside
  

• 在主ISP發生故障、靜態路由被刪除並安裝了備份路由後，路由表如下所示：

  pix(config)# show route
  
  Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
         D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
         N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
         E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
         i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
         * - candidate default, U - per-user static route, o - ODR
         P - periodic downloaded static route
  
  Gateway of last resort is 10.250.250.1 to network 0.0.0.0
  
  S    64.101.0.0 255.255.0.0 [1/0] via 172.22.1.1, inside
  C    172.22.1.0 255.255.255.0 is directly connected, inside
  C    10.250.250.0 255.255.255.248 is directly connected, backup
  C    10.200.159.0 255.255.255.248 is directly connected, outside
  S*   0.0.0.0 0.0.0.0 [254/0] via 10.250.250.1, backup
  

確認已安裝備份路由（ASDM方法）

要與ASDM確認已安裝備份路由，請完成以下步驟：

1. 按一下Monitoring，然後按一下Routing。

2. 從Routing樹中，選擇Routes。

   • 在主ISP發生故障之前，路由表如下：

     

     預設路由透過外部介面指向10.0.0.2。

   • 在主ISP發生故障後，會刪除路由並安裝備用路由。預設路由現在透過備用介面指向10.250.250.1。

     

疑難排解

調試命令

• debug sla monitor trace -顯示回聲操作的進度。

  • 跟蹤的對象（主ISP網關）已啟動，並且ICMP響應成功。

    IP SLA Monitor(123) Scheduler: Starting an operation
    IP SLA Monitor(123) echo operation: Sending an echo operation
    IP SLA Monitor(123) echo operation: RTT=3 OK
    IP SLA Monitor(123) echo operation: RTT=3 OK
    IP SLA Monitor(123) echo operation: RTT=4 OK
    IP SLA Monitor(123) Scheduler: Updating result

  • 跟蹤的對象（主ISP網關）已關閉，並且ICMP響應失敗。

    IP SLA Monitor(123) Scheduler: Starting an operation
    IP SLA Monitor(123) echo operation: Sending an echo operation
    IP SLA Monitor(123) echo operation: Timeout
    IP SLA Monitor(123) echo operation: Timeout
    IP SLA Monitor(123) echo operation: Timeout
    IP SLA Monitor(123) Scheduler: Updating result

• debug sla monitor error— 顯示SLA監控進程遇到的錯誤。

  • 跟蹤的對象（主ISP網關）已啟動，ICMP成功。

    %PIX-7-609001: Built local-host NP Identity Ifc:10.200.159.2
    %PIX-7-609001: Built local-host outside:10.0.0.1
    %PIX-6-302020: Built ICMP connection for faddr 10.0.0.1/0 gaddr 
                   10.200.159.2/52696 laddr 10.200.159.2/52696
    %PIX-6-302021: Teardown ICMP connection for faddr 10.0.0.1/0 gaddr 
                   10.200.159.2/52696 laddr 10.200.159.2/52696
    %PIX-7-609002: Teardown local-host NP Identity Ifc:10.200.159.2 duration 
                   0:00:00
    %PIX-7-609002: Teardown local-host outside:10.0.0.1 duration 0:00:00
    %PIX-7-609001: Built local-host NP Identity Ifc:10.200.159.2
    %PIX-7-609001: Built local-host outside:10.0.0.1
    %PIX-6-302020: Built ICMP connection for faddr 10.0.0.1/0 gaddr 
                   0.200.159.2/52697 laddr 10.200.159.2/52697
    %PIX-6-302021: Teardown ICMP connection for faddr 10.0.0.1/0 gaddr 
                   10.200.159.2/52697 laddr 10.200.159.2/52697
    %PIX-7-609002: Teardown local-host NP Identity Ifc:10.200.159.2 
                   duration 0:00:00
    %PIX-7-609002: Teardown local-host outside:10.0.0.1 duration 0:00:00

  • 跟蹤的對象（主ISP網關）已關閉，並且已刪除跟蹤的路由。

    %PIX-7-609001: Built local-host NP Identity Ifc:10.200.159.2
    %PIX-7-609001: Built local-host outside:10.0.0.1
    %PIX-6-302020: Built ICMP connection for faddr 10.0.0.1/0 gaddr 
                   10.200.159.2/6405 laddr 10.200.159.2/6405
    %PIX-6-302020: Built ICMP connection for faddr 10.0.0.1/0 gaddr  
                   10.200.159.2/6406 laddr 10.200.159.2/6406
    %PIX-6-302020: Built ICMP connection for faddr 10.0.0.1/0 gaddr  
                   10.200.159.2/6407 laddr 10.200.159.2/6407
    %PIX-6-302021: Teardown ICMP connection for faddr 10.0.0.1/0 gaddr  
                   10.200.159.2/6405 laddr 10.200.159.2/6405
    %PIX-6-302021: Teardown ICMP connection for faddr 10.0.0.1/0 gaddr  
                   10.200.159.2/6406 laddr 10.200.159.2/6406
    %PIX-6-302021: Teardown ICMP connection for faddr 10.0.0.1/0 gaddr  
                   10.200.159.2/6407 laddr 10.200.159.2/6407
    %PIX-7-609002: Teardown local-host NP Identity Ifc:10.200.159.2 
                   duration 0:00:02
    %PIX-7-609002: Teardown local-host outside:10.0.0.1 duration 0:00:02
    %PIX-6-622001: Removing tracked route 0.0.0.0 0.0.0.0 10.200.159.1,  
                   distance 1, table Default-IP-Routing-Table, on interface 
                   outside
    
    !--- 10.0.0.1 is unreachable, so the route to the Primary ISP is removed.
    
    

不必要地刪除跟蹤的路由

如果跟蹤的路由被不必要地刪除，請確保您的監控目標始終可用於接收回應請求。此外，確保監控目標的狀態（即目標是否可訪問）與主ISP連線的狀態密切相關。

如果選擇比ISP網關更遠的監控目標，則沿該路由的另一條鏈路可能會發生故障，或者有其它裝置可能會干擾。此配置可能會導致SLA監控器斷定與主ISP的連線發生故障，並導致安全裝置不必要地故障切換到輔助ISP鏈路。

例如，如果您選擇分支機構路由器作為監控目標，那麼到分支機構的ISP連線以及沿途的任何其他鏈路都可能失敗。一旦監控操作傳送的ICMP響應失敗，即使主ISP鏈路仍處於活動狀態，也會刪除主要跟蹤路由。

在本示例中，用作監控目標的主ISP網關由ISP管理，位於ISP鏈路的另一端。此配置可確保如果監控操作傳送的ICMP響應失敗，則ISP鏈路幾乎肯定會關閉。

ASA上的SLA監控

問題:

ASA升級到版本8.0後，SLA監控不起作用。

解決方案：

問題可能是由於在OUTSIDE介面中配置了IP Reverse-Path命令。在ASA中刪除該命令，然後嘗試檢查SLA監控。

相關資訊

• 配置靜態路由跟蹤
• PIX/ASA 7.2命令參考
• Cisco ASA 5500系列安全裝置
• Cisco PIX 500系列安全裝置
• 技術支援與文件 - Cisco Systems