2 провайдера на Cisco ASA/PIX - SLA

Cisco
В Cisco ASA/PIX начиная с версии 7.2 (1) доступна функция отслеживания состояния канала и переключение в случае отказа первого канала на резервный.
В этом примере интерфейс Backup будет использован, когда доступ к интернету через интерфейс outside не доступен.

Конфигурация


global (outside) 1 interface
global (backup) 1 interface
route outside 0.0.0.0 0.0.0.0 192.0.2.100 1 track 192
route backup  0.0.0.0 0.0.0.0 192.0.2.200 10
!
sla monitor 1
 type echo protocol ipIcmpEcho 192.0.2.254 interface outside
  num-packets 3
  threshold 2500
  timeout 5000
  frequency 60
  request-data-size 100
sla monitor schedule 1 life forever start-time now
!
track 192 rtr 1 reachability

Пояснения по командам

route outside 0.0.0.0 0.0.0.0 192.0.2.100 1 track 192
route backup  0.0.0.0 0.0.0.0 192.0.2.200 10
Оба маршрута должны быть с одинаковой подсетью и маской. И должны резервный машрут должен быть с большей метрикой.

sla monitor 1
 type echo protocol ipIcmpEcho 192.0.2.254 interface outside
  num-packets 3
  threshold 2500
  timeout 5000
  frequency 60
  request-data-size 100
sla monitor schedule 1 life forever start-time now
Эта команда включает проверку доступности адреса 192.0.2.254. Проверка заключается в отсылке 3 icmp запросов с timeout 5000, размером 100 байт (что дает размер пакета в 136 байт). Проверка раз в 60 секунд.

Проверка работы

Проверить настройки можно командами:

1. show running-config sla monitor — Покажет настройки sla в конфигурации
pix# show running-config sla monitor
sla monitor 192
 type echo protocol ipIcmpEcho 192.0.2.254 interface outside
 num-packets 3
 frequency 10
sla monitor schedule 192 life forever start-time now

2. show sla monitor configuration — Отображает текущие настройки конфигурации
pix# show sla monitor configuration 123
IP SLA Monitor, Infrastructure Engine-II.
Entry number: 192
Owner:
Tag:
Type of operation to perform: echo
Target address: 192.0.2.254
Interface: outside
Number of packets: 3
Request size (ARR data portion): 28
Operation timeout (milliseconds): 5000
Type Of Service parameters: 0x0
Verify data: No
Operation frequency (seconds): 10
Next Scheduled Start Time: Start Time already passed
Group Scheduled : FALSE
Life (seconds): Forever
Entry Ageout (seconds): never
Recurring (Starting Everyday): FALSE
Status of entry (SNMP RowStatus): Active
Enhanced History:

3. show sla monitor operational-state — Покажет текущее состояние SLA операций
pix# show sla monitor operational-state 192
Entry number: 192
Modification time: 13:59:37.824 UTC Thu Oct 12 2006
Number of Octets Used by this Entry: 1480
Number of operations attempted: 367
Number of operations skipped: 0
Current seconds left in Life: Forever
Operational state of entry: Active
Last time this entry was reset: Never
Connection loss occurred: FALSE
Timeout occurred: FALSE
Over thresholds occurred: FALSE
Latest RTT (milliseconds): 1
Latest operation start time: 15:00:37.825 UTC Thu Oct 12 2006
Latest operation return code: OK
RTT Values:
RTTAvg: 1       RTTMin: 1       RTTMax: 1
NumOfRTT: 3     RTTSum: 3       RTTSum2: 3

15 комментариев

avatar
День добрый!
А вот по конфигурации интерфейсов — в базовой лицензии на третий Vlan надо обязательно накладывать ограничение no forward.
Учитывая это возможно настроить подобный мониторинг?
avatar
с маршрутизаторами не путаете?
avatar
А, похоже я затупил…
Ведь интерфейсы основного и резервного канала никак не будут связаны, и можно ограничить резервный канал на доступ к основному. Вроде так.
avatar
Хм. Чувствую, ковыряться со своей асой я буду еще долго :)
Когда прописываю
route outside 0.0.0.0 0.0.0.0 х.х.х.1 1 track 192

падает инет намертво, переписываю маршрут без «track» — работает. Так и должно быть?)
avatar
а
route outside 0.0.0.0 0.0.0.0 192.0.2.100 1
route backup 0.0.0.0 0.0.0.0 192.0.2.200 10

работает инет?

я у себя по другому сделал :)
avatar
ага, если без трака все работает
avatar
а версия ПО какая?
avatar
Cisco Adaptive Security Appliance Software Version 8.2(1)
avatar
А мне на нее оперативы не хватило :) 2 гига нужно
avatar
я у себя по другому сделал :)

а как сделал? :)
avatar
машрутизатор и 2 фиревола :)
avatar
Хех… ясно, буду мучить свою железяку :)
avatar
все оказалось довольно просто! прописал еще один маршрут для основного канала, но с большей, чем у первого основного и резервного административной дистанцией. Насколько я понимаю, когда трэки поднимутся, маршрут с ними просто вытеснит последний и будет мне счастье :)
avatar
ну попробовать то всегда можно :)
Только зарегистрированные и авторизованные пользователи могут оставлять комментарии.