From: AlexSatter <admin@armavir.ru.>
Условия: Есть два канала в интернет. 1. Оптический линк 2. ADSL
Первый мы будем использовать как основной канал, а второй, как запасной, в случае если что-нибудь случится с оптоволоконной связью.
Таким образом мы имеем три активных интерфейса Cisco ASA (конечно же management интерфейс тоже, но нас он сейчас меньше всего интересует).
В конфигурационном файле имеет вид:
! interface GigabitEthernet0/0 nameif inside security-level 100 ip address 10.0.0.1 255.255.255.0 ! interface GigabitEthernet0/1 nameif outside security-level 0 ip address xx.xx.XX.XX2 255.255.255.252 ! interface GigabitEthernet0/2 shutdown nameif outside_adsl security-level 0 ip address yy.yy.yy.yy.2 255.255.255.252
Будем считать, что на одном интерфейсе, смотрящего в сторону провайдера у нас всё настроено, интернет работает, NAT поднят.
Для обеспечения переключения в случае когда по оптическому линку вдруг перестают ходить пакеты нужно настроить механизм SLA.
Как это работает?
Очень просто, мы указываем чтоб по основному интерфейсу до определённого хоста (обычно шлюз провайдерский, либо шлюз аплинкера прова) каждый некоторый интервал производились отправки icmp echo request. Если ответ echo replay приходит, то всё хорошо, если всё плохо, то переключаемся на дополнительный канал, в нашем случае ADSL
Как это настраивается в Cisco ASA 55xx.
ciscoasa# conf t
ciscoasa(config)# sla monitor 1 ciscoasa(config-sla-monitor)#type echo protocol ipIcmpEcho xx.xx.xx.xx1 interface outside ciscoasa(config-sla-monitor-echo)#num-packets 3 ciscoasa(config-sla-monitor-echo)#frequency 10
Первой командой мы сказали что номер SLA конфигурации 1-ый, и тем самым зашли в режим конфигурации SLA
Дальше мы определяем тип мониторинга, указываем протокол и Адрес узла, который будем проверять на "живучесть", и соответсвенно интерфейс через который всё это будет делаться.
Следующей командой мы указываем сколько пакетов в сторону хоста будет направлено, frequency указывает на то, как часто мы будем посылать echo request хосту, в нашем случае каждые 10 секунд.
Так же можно указать порог ответа (echo replay), до которого будет считаться что всё впорядке, если свыше переходить соответсвенно на запасной канал. делается это с помощью treshold в режиме config-sla-monitor-echo. ТАК ЖЕ МОЖНО ВЫСТАВИТЬ время timeout для conn,h323,sip и так далее.
Для нас данных настроек достаточно,доп.информацию всегда можно почерпнуть на cisco.com, ссылки приведу ниже.
ciscoasa(config)#sla monitor schedule 1 life forever start-time now
Здесь мы указываем когда запускать данный мониторинг и его время жизни. В данном случае мониторинг запущен всегда, т.е. всегда проверяется "живучесть нашего хоста".
Далее нам необходимо прописать трэк, который будет привязан к нашему основному каналу.
ciscoasa(config)# track 1 rtr 1 reachability
Данный трэк, делает то, что если после падения основного провайдера он восстанавливается, всё возвращается с резервного на основной, с помощью смены шлюза по умолчанию. конечно же в настройках gateway необходимо это указать следующим образом
route outside 0.0.0.0 0.0.0.0 xx.xx.xx.xx1 1 track 1 route outside_adsl 0.0.0.0 0.0.0.0 yy.yy.yy.yy1 254
Настройка SLA закончена.
теперь можно проверить. Посмотрим что у нас сейчас в таблице маршрутизации
ciscoasa# sh route
Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area * - candidate default, U - per-user static route, o - ODR P - periodic downloaded static route
Gateway of last resort is 83.69.71.205 to network 0.0.0.0 C xx.xx.xx.xx 255.255.255.252 is directly connected, outside C yy.yy.yy.0 255.255.255.0 is directly connected, outside_adsl C 127.0.0.0 255.255.0.0 is directly connected, cplane C 10.10.10.0 255.255.255.0 is directly connected, management C 10.0.0.0 255.255.255.0 is directly connected, inside S* 0.0.0.0 0.0.0.0 [1/0] via xx.xx.xx.xx1, outside ciscoasa#
Сейчас интернет работает у нас через основного провайдера, т.е. через интерфейс outside, о чем говорит нам последняя строка sh route.
После отключения интерфейса outside (просто выдернем патчёкорд), через несколько секунд заглянем в тот же sh route
ciscoasa# sh route
Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area * - candidate default, U - per-user static route, o - ODR P - periodic downloaded static route Gateway of last resort is 83.69.71.205 to network 0.0.0.0 C xx.xx.xx.xx 255.255.255.252 is directly connected, outside C yy.yy.yy.0 255.255.255.0 is directly connected, outside_adsl C 127.0.0.0 255.255.0.0 is directly connected, cplane C 10.10.10.0 255.255.255.0 is directly connected, management C 10.0.0.0 255.255.255.0 is directly connected, inside S* 0.0.0.0 0.0.0.0 [1/0] via yy.yy.yy.yy1, outside_adsl ciscoasa#
теперь мы видим, что шлюз по умолчания у нас изменился, что нам и требовалось. Теперь, как только "поднимется" основной канал, весь трафик пойдёт через него.
Для того, чтоб посмотреть как ходят пакетики и проверяют живучесть, можно использовать debug
ciscoasa# debug sla monitor trace
И соответсвенно для просмотра ошибок
ciscoasa# debug sla monitor error
Ссылки: - http://cisco.com/en/US/products/hw/vpndevc/ps2030/products_configuration_example09186a00806e880b.shtml - http://root.armavir.ru
Источник: http://www.opennet.ru |