Sécurité : Logiciel Cisco Adaptive Security Appliance (ASA)

Exemple par trajets multiples de configuration de coût égal d'appliance de sécurité adaptable

17 décembre 2015 - Traduction automatique
Autres versions: PDFpdf | Anglais (22 août 2015) | Commentaires


Contenu


Introduction

Ce document fournit des informations sur la façon dont configurer l'appliance de sécurité adaptable (ASA) avec jusqu'à trois artères de coût égal au même réseau de destination par interface. L'ASA hache la source et les adresses IP de destination du paquet sortant pour déterminer quelle artère elle l'utilisera pour déterminer le prochain saut pour le paquet (l'ASA n'utilise pas un algorithme de recherche séquentielle pour choisir le prochain saut). Par opposition à l'Équilibrage de charge circulaire, des paquets avec la mêmes source et paires de destination sont toujours envoyés vers le même prochain saut, selon les informations parasites calculées.

Remarque: Contribué par des ingénieurs TAC Cisco.

Conditions préalables

Conditions requises

Aucune spécification déterminée n'est requise pour ce document.

Composants utilisés

Ce document n'est pas limité à des versions de matériel et de logiciel spécifiques.

Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est opérationnel, assurez-vous que vous comprenez l'effet potentiel de toute commande.

Conventions

Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous à Conventions relatives aux conseils techniques Cisco.

Configurez

Cette section vous fournit des informations pour configurer les fonctionnalités décrites dans ce document.

Remarque: Utilisez l'outil Command Lookup Tool (clients enregistrés seulement) pour obtenir plus d'informations sur les commandes utilisées dans cette section.

Configurations

Ce document décrit ces configurations :

  • Artères de charge statique utilisées pour accomplir ECMP

  • Protocole de routage de protocole OSPF utilisé pour accomplir ECMP

Artères de charge statique utilisées pour accomplir ECMP

Cet exemple affiche aux artères statiques ce qui sont des artères de coût égal qui se dirigent le trafic à trois passerelles différentes sur l'interface extérieure. Les dispositifs de sécurité distribuent le trafic parmi les passerelles spécifiées basées sur la source et les adresses IP de destination dans le paquet.

Les plusieurs artères de charge statique qui utilisent ECMP sont disponibles seulement sur la même interface. ECMP n'est pas pris en charge à travers des plusieurs interfaces.

Configuration d'échantillon ASA :

route outside 10.10.10.0 255.255.255.0 192.168.1.1
route outside 10.10.10.0 255.255.255.0 192.168.1.2
route outside 10.10.10.0 255.255.255.0 192.168.1.3

Show route sorti sur l'ASA :

S 10.10.10.0 255.255.255.0 [1/0] via 192.168.1.1, outside
                                    [1/0] via 192.168.1.2, outside
                                    [1/0] via 192.168.1.3, outside

Protocole de routage de protocole OSPF utilisé pour accomplir ECMP

Le Protocole OSPF (Open Shortest Path First) peut être configuré pour utiliser ECMP par la fourniture des artères avec le même chemin de coût. Est ci-dessous un exemple de l'utilisation de l'OSPF entre une ASA et deux routeurs contigus.

Dans cet exemple, les deux Routeurs sur l'OSPF extérieur de passage, qui sont configurés pour injecter des default route à l'ASA. Des default route sont ajoutés à la table de routage de l'ASA, et puisqu'ils envoient la même mesure, l'ASA les ajoute comme ECMPs au nework par défaut de destination.

L'OSPF est décrit dans ce document. Cependant n'importe quel protocole de routage que l'ASA prend en charge pourrait être utilisé, comme le Protocole EIGPR (Enhanced Interior Gateway Routing Protocol).

Exemple de configuration

ASA :

router ospf 10
 network 10.10.10.0 255.255.255.0 area 0
 log-adj-changes

Routeur 1 :

router ospf 10
 network 10.10.10.0 0.0.0.255 area 0 
 default-information originate metric 10

Router2 :

router ospf 10
 network 10.10.10.0 0.0.0.255 area 0 
 default-information originate metric 10

Le default-information lancent la commande place la mesure à 10, qui quand reçu par l'ASA, installeront l'artère avec le même chemin de coût.

Show route sorti sur l'ASA :

O*E2 0.0.0.0 0.0.0.0 [110/1] via 10.10.10.1, 0:10:18, outside
                            [110/1] via 10.10.10.2, 0:10:18, outside

Vérifiez

Aucune procédure de vérification n'est disponible pour cette configuration.

Dépannez

Si l'EIGRP est utilisé pour accomplir ECMP, référez-vous à l'ID de bogue Cisco CSCti54545 (clients enregistrés seulement), des mesures EIGRP ne mettra pas à jour correctement sur l'ASA.

Conversations connexes de la communauté de soutien de Cisco

Le site Cisco Support Community est un forum où vous pouvez poser des questions, répondre à des questions, faire part de suggestions et collaborer avec vos pairs.


Informations connexes


Document ID: 115986