セキュリティ : Cisco ASA 5500-X シリーズ次世代型ファイアウォール

冗長 なかバックアップ ISP リンクのための ASA を設定して下さい

2016 年 10 月 27 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 8 月 22 日) | フィードバック

概要

この資料に冗長 なかバックアップ インターネット接続を使用することをデバイスが可能にするためにスタティック ルート トラッキング機能の使用のための Cisco ASA 5500 シリーズ適応性があるセキュリティ アプライアンス モデル(ASA)を設定する方法を記述されています。

Prashant Joshi および Dinkar Sharma によって貢献される、Cisco TAC エンジニア。

前提条件

要件

このドキュメントに関する固有の要件はありません。

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

  • Cisco ASA 5555-X シリーズ ソフトウェア バージョン 9.x またはそれ以降を実行する

  • Cisco ASDM バージョン 7.x または それ 以降

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

関連製品

また Cisco ASA 5500 シリーズ バージョン 9.1(5)とこの設定を使用できます。

: backup interface コマンドが ASA 5505 シリーズの第 4 インターフェイスを設定するために必要となります。 Ciscoセキュリティ アプライアンス コマンドレファレンスバックアップインターフェイス セクションを詳細についてはバージョン 7.2 参照して下さい。

背景説明

このセクション始める前にこの資料に説明がある、またいくつかの重要な推奨事項は提供しますスタティック ルート トラッキング機能の外観を。

スタティック ルート トラッキング機能 外観

スタティック・ルートの使用における 1 つの問題はことルートは上下にあるかどうか判別できる固有メカニズム 存在ではないです。 ネクストホップ ゲートウェイが使用不能になっても、ルートはルーティング テーブルに存在し続けます。 スタティック ルートがルーティング テーブルから削除されるのは、セキュリティ アプライアンス上の関連付けられているインターフェイスがダウンした場合だけです。 この問題を解決するために、スタティック ルート トラッキング機能はスタティック ルートのアベイラビリティをトラッキングするために使用されます。 機能はルーティング テーブルからスタティック ルートを削除し、バックアップルートによって失敗にそれを取り替えます。

スタティック ルート トラッキングはプライマリ専用回線が利用できなくなれば ASA がセカンダリ ISP への安価な接続を使用するようにします。 この冗長性を実現させるために、ASA は定義するモニタリング ターゲットとスタティック ルートを関連付けます。 Service Level Agreement(SLA; サービス レベル契約) オペレーションは定期的な ICMPエコー要求を用いるターゲットを監察します。 エコーリプライが受け取られない場合、オブジェクトは考慮され、関連するルートはルーティング テーブルから取除かれます。 そして、削除されたルートに代わって、すでに定義されているバックアップ ルートが使用されます。 バックアップルートが使用中の間、SLA モニタ オペレーションはモニタリング ターゲットに達する試みを続けます。 再度、ターゲットに到達できるようになると、最初のルートがルーティング テーブルに置き換えられ、バックアップ ルートは削除されます。

この資料で使用する例では、ASA はインターネットへの 2 つの接続を維持します。 1 つ目の接続は高速専用回線です。この回線には、プライマリ ISP のルータを経由してアクセスします。 セカンダリ ISP によって提供される DSL モデムを通してアクセスされる第 2 接続は低速 Digital Subscriber Line (dsl)です。

: 設定はロード バランシングかロード シェアリングにこの資料に説明がある ASA でサポートされないので使用することができません。 この設定は冗長化またはバックアップの用途にだけ使用してください。 次に送信 トラフィックはプライマリが失敗した場合プライマリ ISP およびセカンダリ ISP を使用します。 プライマリ ISP に障害が発生すると、一時的にトラフィックが中断されます。

専用回線がアクティブでプライマリ ISP ゲートウェイが到達可能である限り、DSL 接続はアイドル状態となります。 ただし、プライマリ ISP への接続がダウン状態になれば、ASA は DSL接続にルーティング テーブル 直接トラフィックを変更します。 スタティック ルート トラッキングはこの冗長性を実現させるために使用されます。

プライマリ ISP にインターネット トラフィックすべてを送信する ASA はスタティック ルートで設定されます。 10 秒毎に、SLA モニタ 工程監査 プライマリ ISP ゲートウェイが到達可能であることを確認するため。 プライマリ ISP ゲートウェイに到達不能であると SLA モニタ プロセスが判定すると、そのインターフェイスにトラフィックを転送するスタティック ルートはルーティング テーブルから削除されます。 このスタティック ルートを置き換えるために、セカンダリ ISP にトラフィックを転送する代替スタティック ルートがインストールされます。 この代替スタティック ルートは、プライマリ ISP へのリンクが到達可能になるまで、DSL モデム経由でセカンダリ ISP にトラフィックを転送します。

この設定はアウトバウンド インターネット アクセスが ASA の後ろのユーザに利用可能に残ることを確認する比較的安価な方法を提供します。 この資料に記述されているように、このセットアップは ASA の後ろのリソースにインバウンドアクセスのために適しないかもしれません。 高度ネットワーキング 技術はシームレス 着信接続を実現させるために必要となります。 そうしたスキルについては、このドキュメントでは説明していません。

重要な推奨事項

この資料に説明がある設定を試みる前に、インターネット制御メッセージ プロトコル (ICMP) エコー要求に応答できるモニタリング ターゲットを選択して下さい。 ターゲットはインターネットサービスプロバイダー (ISP)接続に密接に結ばれる選択するが、ターゲットは推奨されますどのネットワーク オブジェクトである場合もあります。 いくつかの可能性のある モニタリング ターゲットはここにあります:

  • ISP ゲートウェイ アドレス

  • 別の ISP-managed アドレス

  • ASA が通信する必要がある認証、許可、アカウンティング(AAA) サーバのような別のネットワークのサーバ、

  • 別のネットワーク上で常時稼働している永続ネットワーク オブジェクト(夜間にシャットダウンされる可能性があるデスクトップ コンピュータやノートパソコンは推奨しません)

この資料は ASA が完全に機能し、Cisco Adaptive Security Device Manager (ASDM)をコンフィギュレーション変更を行なうことを許可するために設定されると仮定します。

ヒント: ASDM がデバイスを設定するように方法についての情報に関しては CLI 本 1ASDM セクションのための設定 HTTPS アクセスを参照して下さい: Cisco ASA シリーズ 操作全般 CLI コンフィギュレーション ガイド、9.1

設定

情報を使用して下さいスタティック ルート トラッキング機能の使用のための ASA を設定するためにこのセクションに説明がある。

: このセクションで使用するコマンドについての詳細を得るために Command Lookup Tool登録ユーザのみ)を使用して下さい。

: この設定で使用する IP アドレスはインターネットで合法的にルーティング可能ではないです。 ラボ 環境で使用されるそれらは RFC 1918 アドレスです。

ネットワーク図

このセクションで提供される例はこのネットワーク セットアップを使用します:

CLI 設定

CLI によって ASA を設定するためにこの情報を使用して下さい:

ASA# show running-config

ASA Version 9.1(5)
!
hostname ASA
!
interface GigabitEthernet0/0
 nameif inside
 security-level 100
 ip address 192.168.10.1 255.255.255.0
!
interface GigabitEthernet0/1
 nameif outside
 security-level 0
 ip address 203.0.113.1 255.255.255.0
!
interface GigabitEthernet0/2
 nameif backup
 security-level 0
 ip address 198.51.100.1 255.255.255.0

!--- The interface attached to the Secondary ISP.
!--- "backup" was chosen here, but any name can be assigned.
 
!
interface GigabitEthernet0/3
 shutdown
 no nameif
 no security-level
 no ip address
!
interface GigabitEthernet0/4
 no nameif
 no security-level
 no ip address
!
interface GigabitEthernet0/5
 no nameif
 no security-level
 no ip address
!
interface Management0/0
 management-only
 no nameif
 no security-level
 no ip address
!
boot system disk0:/asa915-smp-k8.bin
ftp mode passive
clock timezone IND 5 30
object network Inside_Network
 subnet 192.168.10.0 255.255.255.0
object network inside_network
 subnet 192.168.10.0 255.255.255.0
pager lines 24
logging enable
mtu inside 1500
mtu outside 1500
mtu backup 1500
icmp unreachable rate-limit 1 burst-size 1
no asdm history enable
arp timeout 14400
no arp permit-nonconnected
!
object network Inside_Network
 nat (inside,outside) dynamic interface
object network inside_network
 nat (inside,backup) dynamic interface

!--- NAT Configuration for Outside and Backup
 
route outside 0.0.0.0 0.0.0.0 203.0.113.2 1 track 1

!--- Enter this command in order to track a static route.
!--- This is the static route to be installed in the routing
!--- table while the tracked object is reachable.  The value after
!--- the keyword "track" is a tracking ID you specify.

route backup 0.0.0.0 0.0.0.0 198.51.100.2 254

!--- Define the backup route to use when the tracked object is unavailable.
!--- The administrative distance of the backup route must be greater than
!--- the administrative distance of the tracked route.
!--- If the primary gateway is unreachable, that route is removed
!--- and the backup route is installed in the routing table
!--- instead of the tracked route.

timeout xlate 3:00:00
timeout pat-xlate 0:00:30
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
timeout tcp-proxy-reassembly 0:01:00
timeout floating-conn 0:00:00
 
sla monitor 123
 type echo protocol ipIcmpEcho 4.2.2.2 interface outside
 num-packets 3
 frequency 10
 
!--- Configure a new monitoring process with the ID 123.  Specify the
!--- monitoring protocol and the target network object whose availability the tracking
!--- process monitors.  Specify the number of packets to be sent with each poll.
!--- Specify the rate at which the monitor process repeats (in seconds).


sla monitor schedule 123 life forever start-time now

!--- Schedule the monitoring process.  In this case the lifetime
!--- of the process is specified to be forever.  The process is scheduled to begin
!--- at the time this command is entered.  As configured, this command allows the
!--- monitoring configuration specified above to determine how often the testing
!--- occurs.  However, you can schedule this monitoring process to begin in the
!--- future and to only occur at specified times.


crypto ipsec security-association pmtu-aging infinite
crypto ca trustpool policy
!
track 1 rtr 123 reachability

!--- Associate a tracked static route with the SLA monitoring process.
!--- The track ID corresponds to the track ID given to the static route to monitor:
!--- route outside 0.0.0.0 0.0.0.0 10.0.0.2 1 track 1
!--- "rtr" = Response Time Reporter entry.  123 is the ID of the SLA process
!--- defined above.


telnet timeout 5
ssh stricthostkeycheck
ssh timeout 5
ssh key-exchange group dh-group1-sha1
console timeout 0
priority-queue inside
threat-detection statistics access-list
no threat-detection statistics tcp-intercept
!
class-map inspection_default
 match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
 parameters
  message-length maximum client auto
  message-length maximum 512
policy-map global_policy
 class inspection_default
  inspect dns preset_dns_map
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect rsh
  inspect rtsp
  inspect esmtp
  inspect sqlnet
  inspect skinny
  inspect sunrpc
  inspect xdmcp
  inspect sip
  inspect netbios
  inspect tftp
  inspect ip-options
  inspect icmp
!
service-policy global_policy global

ASDM の設定

ASDM アプリケーションで冗長 なかバックアップ ISP サポートを設定するためにこれらのステップを完了して下さい:

  1. ASDM アプリケーションの中では、『Configuration』 をクリック し、次に『Interfaces』 をクリック して下さい。



  2. GigabitEthernet0/1 をインターフェイス リストから選択し、次に『Edit』 をクリック して下さい。 このダイアログボックスは現われます:



  3. イネーブル インターフェイス チェック チェック ボックスをチェックし、インターフェイス名セキュリティレベルIP アドレスおよびサブネット マスク フィールドで適切な値を入力して下さい。

  4. [OK] をクリックしてダイアログボックスを閉じます。

  5. 他のインターフェイスを必要に応じて設定し、次に ASA 設定をアップデートするために『Apply』 をクリック して下さい:



  6. ルーティングを選択し、ASDM アプリケーションの左側にあるスタティック・ルートをクリックして下さい:



  7. [Add] をクリックして、新しいスタティック ルートを追加します。 このダイアログボックスは現われます:



  8. ルートが存在するインターフェイスを [Interface Name] ドロップダウン リストから選択し、ゲートウェイに到達するためのデフォルト ルートを設定します。 この例では、203.0.113.2 はプライマリ ISP ゲートウェイであり、4.2.2.2 は ICMPエコーと監視するべきオブジェクトです。

  9. オプション エリアで、トラッキングされたオプション ボタンをクリックし、トラック IDSLA ID、およびトラック IP address フィールドで適切な値を入力して下さい。

  10. [Monitoring Options] をクリックします。 このダイアログボックスは現われます:



  11. 周波数および他のモニタリング オプションの適切な値を入力し、次に『OK』 をクリック して下さい。

  12. セカンダリ ISP への別のスタティック ルートを追加し、インターネットに到達するためのルートを用意します。 これをセカンダリ ルートにするために、このルートの設定には 254 などのより高いメトリックを使用します。 プライマリ ルート(プライマリ ISP)に障害が発生すると、このルートはルーティング テーブルから削除され、 このセカンダリ ルート(セカンダリ ISP)は Private Internet Exchange (PIX) ルーティング テーブルに代りにインストールされています。

  13. ダイアログボックスを閉じるために『OK』 をクリック して下さい:



    コンフィギュレーションはインターフェイス リストに現われます:



  14. ルーティングコンフィギュレーションを選択し、次に ASA 設定をアップデートするために『Apply』 をクリック して下さい。

確認

このセクションでは、設定が正常に機能していることを確認します。

設定が完了したことを確認して下さい

: 特定の show コマンドがアウトプット インタープリタ ツール登録ユーザ専用)でサポートされています。 show コマンド出力の分析を表示するには、アウトプット インタープリタ ツールを使用します。

設定が完了したことを確認するためにこれらの show コマンドを使用して下さい:

  • show running-config SLA モニタ–このコマンドの出力は設定の SLA コマンドを表示するものです。
    ASA# show running-config sla monitor
    sla monitor 123
     type echo protocol ipIcmpEcho 4.2.2.2 interface outside
     num-packets 3
     frequency 10
    sla monitor schedule 123 life forever start-time now
  • 示して下さい SLA モニタ 設定–このコマンドの出力はオペレーションの現在のコンフィギュレーション設定を表示するものです。
    ASA# show sla monitor configuration 123
    IP SLA Monitor, Infrastructure Engine-II.
    Entry number: 123
    Owner:
    Tag:
    Type of operation to perform: echo
    Target address: 4.2.2.2
    Interface: outside
    Number of packets: 3
    Request size (ARR data portion): 28
    Operation timeout (milliseconds): 5000
    Type Of Service parameters: 0x0
    Verify data: No
    Operation frequency (seconds): 10
    Next Scheduled Start Time: Start Time already passed
    Group Scheduled : FALSE
    Life (seconds): Forever
    Entry Ageout (seconds): never
    Recurring (Starting Everyday): FALSE
    Status of entry (SNMP RowStatus): Active
    Enhanced History:
  • 示して下さい SLA モニタ オペレーショナル ステート–このコマンドの出力は SLA オペレーションの操作上統計情報を表示するものです。

    • プライマリ ISP で障害が発生する前の動作ステータスは次のとおりです。
      ASA# show sla monitor operational-state 123
      Entry number: 123
      Modification time: 13:30:40.672 IND Sun Jan 4 2015
      Number of Octets Used by this Entry: 2056
      Number of operations attempted: 46
      Number of operations skipped: 0
      Current seconds left in Life: Forever
      Operational state of entry: Active
      Last time this entry was reset: Never
      Connection loss occurred: FALSE
      Timeout occurred: FALSE
      Over thresholds occurred: FALSE
      Latest RTT (milliseconds): 1
      Latest operation start time: 13:38:10.672 IND Sun Jan 4 2015
      Latest operation return code: OK
      RTT Values:
      RTTAvg: 1       RTTMin: 1       RTTMax: 1
      NumOfRTT: 3     RTTSum: 3       RTTSum2: 3
    • プライマリ ISP が(および ICMPエコー タイムアウト)失敗した後、これはオペレーショナル ステートです:
      ASA# show sla monitor operational-state
      Entry number: 123
      Modification time: 13:30:40.671 IND Sun Jan 4 2015
      Number of Octets Used by this Entry: 2056
      Number of operations attempted: 57
      Number of operations skipped: 0
      Current seconds left in Life: Forever
      Operational state of entry: Active
      Last time this entry was reset: Never
      Connection loss occurred: FALSE
      Timeout occurred: TRUE
      Over thresholds occurred: FALSE
      Latest RTT (milliseconds): NoConnection/Busy/Timeout
      Latest operation start time: 13:40:00.672 IND Sun Jan 4 2015
      Latest operation return code: Timeout
      RTT Values:
      RTTAvg: 0       RTTMin: 0       RTTMax: 0
      NumOfRTT: 0     RTTSum: 0       RTTSum2: 0

バックアップルートがインストールされていることを確認して下さい(CLI 方式)

バックアップルートがインストールされていることを確認するために show route コマンドを入力して下さい。

プライマリ ISP が失敗する前に、ルーティング テーブルはこれに類似したのようです:

ASA# show route

Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
       i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
       * - candidate default, U - per-user static route, o - ODR
       P - periodic downloaded static route

Gateway of last resort is 203.0.113.2 to network 0.0.0.0

C    203.0.113.0 255.255.255.0 is directly connected, outside
C    192.168.10.0 255.255.255.0 is directly connected, inside
C    198.51.100.0 255.255.255.0 is directly connected, backup
S*   0.0.0.0 0.0.0.0 [1/0] via 203.0.113.2, outside

プライマリ ISP が失敗した後、スタティック ルートは取除かれ、バックアップルートは、ルーティング テーブルようですこれに類似したのインストールされています:

ASA# show route

Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
       i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
       * - candidate default, U - per-user static route, o - ODR
       P - periodic downloaded static route

Gateway of last resort is 198.51.100.2 to network 0.0.0.0

C    203.0.113.0 255.255.255.0 is directly connected, outside
C    192.168.10.0 255.255.255.0 is directly connected, inside
C    198.51.100.0 255.255.255.0 is directly connected, backup
S*   0.0.0.0 0.0.0.0 [254/0] via 198.51.100.2, backup

バックアップルートがインストールされていることを確認して下さい(ASDM 方式)

バックアップルートが ASDM によってインストールされていることを確認するために、モニタリング> ルーティング ナビゲート し、次にルーティングツリーからルーティングを選択して下さい。

プライマリ ISP が失敗する前に、ルーティング テーブルは次のイメージで示されているそれに類似したのようです。 デフォルト ルートが outside インターフェイスを通って 203.0.113.2 を指すことに注目して下さい:

プライマリ ISP が失敗した後、ルートは取除かれ、バックアップルートはインストールされています。 デフォルト ルートはバックアップインターフェイスを通って 198.51.100.2 を今指します:

 

トラブルシューティング

このセクションはいくつかの有用な debug コマンドを提供し、トラッキングされたルートが不必要に取除かれる問題を解決する方法を記述します。

debug コマンド

設定 に関する 問題を解決するためにこれらの debug コマンドを使用できます:

  • デバッグ SLA モニタ トレース–このコマンドの出力はエコー オペレーションの進行状況を表示するものです。

    • トラッキングされたオブジェクト(プライマリ ISP ゲートウェイ)がアップおよび ICMPエコー成功すればである場合、出力はこれに類似したのようです:
      IP SLA Monitor(123) Scheduler: Starting an operation
      IP SLA Monitor(123) echo operation: Sending an echo operation
      IP SLA Monitor(123) echo operation: RTT=0 OK
      IP SLA Monitor(123) echo operation: RTT=0 OK
      IP SLA Monitor(123) echo operation: RTT=1 OK
      IP SLA Monitor(123) Scheduler: Updating result
    • トラッキングされたオブジェクト(プライマリ ISP ゲートウェイ)がおよび ICMPエコー失敗したダウンしている場合、出力はこれに類似したのようです:
      IP SLA Monitor(123) Scheduler: Starting an operation
      IP SLA Monitor(123) echo operation: Sending an echo operation
      IP SLA Monitor(123) echo operation: Timeout
      IP SLA Monitor(123) echo operation: Timeout
      IP SLA Monitor(123) echo operation: Timeout
      IP SLA Monitor(123) Scheduler: Updating result
  • デバッグ SLA Monitor エラー–このコマンドの出力は SLA モニタ プロセスが出会うエラーを表示するものです。

    • トラッキングされたオブジェクト(プライマリ ISP ゲートウェイ)がアップおよび ICMP 成功すればである場合、出力はこれに類似したのようです:
      %ASA-7-609001: Built local-host identity:203.0.113.1
      %ASA-7-609001: Built local-host outside:4.2.2.2
      %ASA-6-302020: Built outbound ICMP connection for faddr 4.2.2.2/0
      gaddr 203.0.113.1/39878 laddr 203.0.113.1/39878
      %ASA-6-302021: Teardown ICMP connection for faddr 4.2.2.2/0 gaddr
      203.0.113.1/39878 laddr 203.0.113.1/39878
      %ASA-7-609002: Teardown local-host identity:203.0.113.1 duration 0:00:00
      %ASA-7-609002: Teardown local-host outside:4.2.2.2 duration 0:00:00
      %ASA-7-609001: Built local-host identity:203.0.113.1
      %ASA-7-609001: Built local-host outside:4.2.2.2
      %ASA-6-302020: Built outbound ICMP connection for faddr 4.2.2.2/0
      gaddr 203.0.113.1/39879 laddr 203.0.113.1/39879
      %ASA-6-302021: Teardown ICMP connection for faddr 4.2.2.2/0 gaddr
      203.0.113.1/39879 laddr 203.0.113.1/39879
      %ASA-7-609002: Teardown local-host identity:203.0.113.1 duration 0:00:00
      %ASA-7-609002: Teardown local-host outside:4.2.2.2 duration 0:00:00
    • トラッキングされたオブジェクト(プライマリ ISP ゲートウェイ)がおよびトラッキングされたルート取除かれればダウンしている場合、出力はこれに類似したのようです:
      %ASA-7-609001: Built local-host identity:203.0.113.1
      %ASA-7-609001: Built local-host outside:4.2.2.2
      %ASA-6-302020: Built outbound ICMP connection for faddr 4.2.2.2/0
      gaddr 203.0.113.1/59003 laddr 203.0.113.1/59003
      %ASA-6-302020: Built outbound ICMP connection for faddr 4.2.2.2/0
      gaddr 203.0.113.1/59004 laddr 203.0.113.1/59004
      %ASA-6-302020: Built outbound ICMP connection for faddr 4.2.2.2/0
      gaddr 203.0.113.1/59005 laddr 203.0.113.1/59005
      %ASA-6-302021: Teardown ICMP connection for faddr 4.2.2.2/0 gaddr
      203.0.113.1/59003 laddr 203.0.113.1/59003
      %ASA-6-302021: Teardown ICMP connection for faddr 4.2.2.2/0 gaddr
      203.0.113.1/59004 laddr 203.0.113.1/59004
      %ASA-6-302021: Teardown ICMP connection for faddr 4.2.2.2/0 gaddr
      203.0.113.1/59005 laddr 203.0.113.1/59005
      %ASA-7-609002: Teardown local-host identity:203.0.113.1 duration 0:00:02
      %ASA-7-609002: Teardown local-host outside:4.2.2.2 duration 0:00:02
      %ASA-6-622001: Removing tracked route 0.0.0.0 0.0.0.0 203.0.113.2,
      distance 1, table Default-IP-Routing-Table, on interface outside

      !--- 4.2.2.2 is unreachable, so the route to the Primary ISP is removed.

トラッキング対象のルートが不必要に削除される

トラッキング対象のルートが不必要に削除される場合は、モニタリング ターゲットが常にエコー要求を受信できる状態であることを確認します。 また、モニタリング ターゲットの状態(ターゲットが到達可能であるかどうか)がプライマリ ISP 接続の状態と密接に結び付いていることを確認します。

ISP ゲートウェイよりずっと離れているモニタリング ターゲットを選択すれば、そのルートに沿う別のリンクは失敗するかもしれませんまたは別のデバイスは干渉するかもしれません。 この設定により不必要に失敗したことを SLA モニタはプライマリ ISP への接続が結論し、ASA をセカンダリ ISP リンクに失敗させますかもしれません。

たとえば、ブランチ オフィスのルータをモニタリング ターゲットとして選択すると、ブランチ オフィスへの ISP 接続、および途中にある別のリンクで障害が発生する可能性があります。 プライマリ ISP リンクがまだアクティブであるのに監視操作失敗によって送信 される ICMPエコーが、プライマリ トラッキングされたルート取除かれれば。

この例では、モニタリング ターゲットとして使用されているプライマリ ISP ゲートウェイは ISP によって管理され、ISP リンクの反対側に配置されています。 この設定は監視操作失敗によって送信 される ICMPエコーが、ISP リンクほとんど確かにある場合ようにします。

関連情報



Document ID: 118962