Segurança : Cisco Adaptive Security Appliance (ASA) Software

Exemplo de configuração adaptável dos custos iguais Multi-PATH da ferramenta de segurança

14 Outubro 2016 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Inglês (22 Agosto 2015) | Feedback


Índice


Introdução

Este documento fornece a informação em como configurar a ferramenta de segurança adaptável (ASA) com até três rotas de custo igual à mesma rede de destino pela relação. O ASA pica os endereços IP de origem e de destino do pacote externo para determinar que rota se usará para determinar o salto seguinte para o pacote (o ASA não emprega um algoritmo round-robin para escolher o salto seguinte). Ao contrário do Balanceamento de carga do arredondamento robin, os pacotes com a mesmos fonte e pares do destino são enviados sempre para o mesmo salto seguinte, conforme a mistura computada.

Nota: Contribuído por engenheiros de TAC da Cisco.

Pré-requisitos

Requisitos

Não existem requisitos específicos para este documento.

Componentes Utilizados

Este documento não se restringe a versões de software e hardware específicas.

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

Convenções

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Configurar

Nesta seção, você encontrará informações para configurar os recursos descritos neste documento.

Nota: Use a Command Lookup Tool (somente clientes registrados) para obter mais informações sobre os comandos usados nesta seção.

Configurações

Este documento descreve estas configurações:

  • Rotas estáticas usadas para realizar o ECMP

  • Abra o primeiro protocolo de roteamento do caminho mais curto usado para realizar o ECMP

Rotas estáticas usadas para realizar o ECMP

Este exemplo mostra a rotas estáticas quais são rotas de custo igual esse tráfego direto a três gateways diferentes na interface externa. A ferramenta de segurança distribui o tráfego entre os gateways especificados baseados nos endereços IP de origem e de destino no pacote.

As rotas estáticas múltiplas que utilizam o ECMP estão disponíveis somente na mesma relação. O ECMP não é apoiado através das interfaces múltiplas.

Configuração de exemplo ASA:

route outside 10.10.10.0 255.255.255.0 192.168.1.1
route outside 10.10.10.0 255.255.255.0 192.168.1.2
route outside 10.10.10.0 255.255.255.0 192.168.1.3

Mostre a rota Output no ASA:

S 10.10.10.0 255.255.255.0 [1/0] via 192.168.1.1, outside
                                    [1/0] via 192.168.1.2, outside
                                    [1/0] via 192.168.1.3, outside

Abra o primeiro protocolo de roteamento do caminho mais curto usado para realizar o ECMP

O Open Shortest Path First (OSPF) pode ser configurado para utilizar o ECMP pela disposição das rotas com o mesmo trajeto do custo. Está abaixo um exemplo do uso do OSPF entre um ASA e dois roteadores adjacentes.

Neste exemplo, os dois Roteadores na parte externa executam o OSPF, que são configurados para injetar rotas padrão ao ASA. As rotas padrão são adicionadas à tabela de roteamento do ASA, e desde que enviam a mesma métrica, o ASA adicionar-las como ECMP ao nework do destino do padrão.

O OSPF é caracterizado neste documento. Contudo todo o protocolo de roteamento que o ASA apoiar poderia ser usado, como o Enhanced Interior Gateway Routing Protocol (EIGRP).

Configuração de exemplo

ASA:

router ospf 10
 network 10.10.10.0 255.255.255.0 area 0
 log-adj-changes

Roteador1:

router ospf 10
 network 10.10.10.0 0.0.0.255 area 0 
 default-information originate metric 10

Roteador2:

router ospf 10
 network 10.10.10.0 0.0.0.255 area 0 
 default-information originate metric 10

O comando default-information originate ajusta a métrica ao 10, que quando recebido pelo ASA, instalará a rota com o mesmo trajeto do custo.

Mostre a rota Output no ASA:

O*E2 0.0.0.0 0.0.0.0 [110/1] via 10.10.10.1, 0:10:18, outside
                            [110/1] via 10.10.10.2, 0:10:18, outside

Verificar

No momento, não há procedimento de verificação disponível para esta configuração.

Troubleshooting

Se o EIGRP é usado para realizar o ECMP, refira a identificação de bug Cisco CSCti54545 (clientes registrados somente), métrico EIGRP não atualizará corretamente no ASA.


Informações Relacionadas


Document ID: 115986