Решения Service Exchange : Устройства защиты Cisco PIX серии 500

ASA/PIX 7.x: Пример конфигурации избыточного или резервного канала подключения к поставщику услуг Интернета

20 октября 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Перевод, выполненный профессиональным переводчиком (23 марта 2008) | Английский (22 августа 2015) | Отзыв


Содержание


Введение

Проблема статических маршрутов состоит в отсутствии внутреннего механизма, позволяющего определить, работает маршрут или нет. Маршрут остается в таблице маршрутизации, даже если шлюз следующего перехода становится недоступен. Статические маршруты удаляются из таблицы маршрутизации, только если соответствующий интерфейс в устройстве безопасности прекращает работу. Чтобы решить эту проблему, используется функция отслеживания статических маршрутов, которая отслеживает доступность статического маршрута и, если маршрут перестает функционировать, удаляет его из таблицы маршрутизации и заменяет резервным маршрутом.

В этом документе представлен пример использования функции отслеживания статических маршрутов в устройстве PIX 500 Series Security Appliance или ASA 5500 Series Adaptive Security Appliance, позволяющей устройству использовать избыточные или резервные подключения к Интернету. В этом примере отслеживание статического маршрута позволяет устройству безопасности использовать недорогое подключение к вспомогательному поставщику услуг Интернета (ISP) в случае, если основная выделенная линия станет недоступна.

Чтобы достичь такой избыточности, устройство безопасности связывает статический маршрут с определяемым вами целевым объектом мониторинга. Процесс применения соглашений об уровне обслуживания (SLA) отслеживает этот объект с помощью эхо-запросов по протоколу ICMP. Если эхо-ответ не получен, объект считается отключенным, и связанный с ним маршрут удаляется из таблицы маршрутизации. А вместо удаленного маршрута используется ранее настроенный резервный маршрут. Пока используется резервный маршрут, монитор SLA продолжает попытки достичь объекта мониторинга. Когда целевой объект снова становится доступен, первый маршрут возвращается в таблицу маршрутизации, а резервный маршрут удаляется.

Примечание: Конфигурация, описанная в этом документе, не может использоваться для распределения нагрузки или распределения нагрузки, поскольку это не поддерживается на ASA/PIX. Используйте эту конфигурацию только для обеспечения избыточности или резервирования. Исходящий трафик использует основного поставщика, а затем вспомогательного поставщика, если основной становится недоступен. Сбой основного поставщика приводит в временному прекращению потока трафика.

Предварительные условия

Требования

Выберите контролирующую цель, которая может ответить на эхо-запросы протокола ICMP. Это может быть любой сетевой объект, однако рекомендуется использовать объект, тесно связанный с подключением к поставщику. Вот некоторые из возможных объектов мониторинга:

  • Адрес шлюза поставщика

  • Другой управляемый ИНТЕРНЕТ-ПРОВАЙДЕРОМ адрес

  • Сервер в другой сети, такой как AAA-сервер, с которым должно связаться устройство безопасности

  • Персистентный сетевой объект в другой сети (рабочий стол или портативный компьютер, которого можно завершить работу ночью, не являются хорошим выбором),

Этот документ предполагает, что устройство безопасности полностью в рабочем состоянии и настроено, чтобы позволить Cisco ASDM изменять конфигурацию.

Примечание: Для получения информации о том, как позволить ASDM настраивать устройство, обращаться к документу Разрешение HTTPS-доступа для ASDM.

Используемые компоненты

Сведения, содержащиеся в данном документе, касаются следующих версий программного обеспечения и оборудования:

  • Cisco PIX Security Appliance 515E с версией программного обеспечения 7.2 (1) или позже

  • Cisco Adaptive Security Device Manager 5.2 (1) или позже

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.

Родственные продукты

Можно также использовать эту конфигурацию с версией 7.2 (1) Устройства безопасности серии 5500 Cisco ASA.

Примечание: Команда резервного интерфейса требуется, чтобы настраивать четвертый интерфейс на ASA 5505. См. резервный интерфейс для получения дополнительной информации.

Условные обозначения

Для получения дополнительной информации об условных обозначениях в документации, обратитесь к Cisco Technical Tips Conventions.

Общие сведения

В этом примере устройство безопасности поддерживает два подключения к Интернету. Первое подключение — это высокоскоростная выделенная линия, доступная через маршрутизатор, предоставленный основным поставщиком. Второе подключение — это более медленный канал DSL, доступный по DSL-модему, предоставленному вспомогательным поставщиком.

Примечание: Распределение нагрузки не происходит в данном примере.

DSL-подключение не используется, пока активна выделенная линия и доступен шлюз основного поставщика. Однако если подключение к основному поставщику прекращается, устройство безопасности изменяет таблицу маршрутизации, чтобы направить трафик по DSL-подключению. Для достижения этой избыточности используется отслеживание статического маршрута.

Для устройства безопасности настраивается статический маршрут, который направляет весь Интернет-трафик основному поставщику. Каждые 10 секунд монитор SLA проводит проверки для подтверждения доступности шлюза основного поставщика. Если выясняется, что шлюз основного поставщика недоступен, статический маршрут, по которому трафик направляется в этот интерфейс, удаляется из таблицы маршрутизации. Чтобы заменить этот статический маршрут, устанавливается другой статический маршрут, направляющий трафик вспомогательному поставщику. Этот альтернативный статический маршрут направляет трафик вспомогательному поставщику по DSL-модему до тех пор, пока канал основного поставщика не станет доступен.

Эта конфигурация предлагает относительно недорогой способ гарантировать доступность исходящего Интернет-трафика для пользователей, находящихся за устройством безопасности. Как описано в этом документе, такая настройка может не подходить для входящего доступа к ресурсам, находящимся за устройством безопасности. Для обеспечения прозрачных входящих подключений необходимы хорошие навыки работы с сетями. Эти навыки не рассматриваются в этом документе.

Настройка

В этом разделе содержатся сведения о настройке функций, описанных в этом документе.

Примечание: IP-адреса, используемые в этой конфигурации, не юридически маршрутизируемы в Интернете. Это адреса RFC 1918 , которые используются в лабораторной среде. leavingcisco.com

Схема сети

В настоящем документе используется следующая схема сети:

/image/gif/paws/70559/pix-dual-isp01.gif

Конфигурации

Эти конфигурации используются в данном документе:

Примечание: Используйте инструмент Command Lookup (только для зарегистрированных пользователей) для того, чтобы получить более подробную информацию о командах, использованных в этом разделе.

Конфигурация интерфейса командой строки CLI

PIX
pix# show running-config
: Saved
:
PIX Version 7.2(1)
!
hostname pix
domain-name default.domain.invalid
enable password 9jNfZuG3TC5tCVH0 encrypted
names
!
interface Ethernet0
 nameif outside
 security-level 0
 ip address 10.200.159.2 255.255.255.248
!
interface Ethernet1
 nameif backup

!--- The interface attached to the Secondary ISP.
!--- "backup" was chosen here, but any name can be assigned.

 security-level 0
 ip address 10.250.250.2 255.255.255.248
!
interface Ethernet2
 nameif inside
 security-level 100
 ip address 172.22.1.163 255.255.255.0
!
interface Ethernet3
 shutdown
 no nameif
 no security-level
 no ip address
!
interface Ethernet4
 shutdown
 no nameif
 no security-level
 no ip address
!
interface Ethernet5
 shutdown
 no nameif
 no security-level
 no ip address
!
passwd 2KFQnbNIdI.2KYOU encrypted
ftp mode passive
dns server-group DefaultDNS
 domain-name default.domain.invalid
pager lines 24
logging enable
logging buffered debugging
mtu outside 1500
mtu backup 1500
mtu inside 1500
no failover
asdm image flash:/asdm521.bin
no asdm history enable
arp timeout 14400

global (outside) 1 interface
global (backup) 1 interface
nat (inside) 1 172.16.1.0 255.255.255.0

!--- NAT Configuration for Outside and Backup

route outside 0.0.0.0 0.0.0.0 10.200.159.1 1 track 1

!--- Enter this command in order to track a static route.
!--- This is the static route to be installed in the routing 
!--- table while the tracked object is reachable.  The value after
!--- the keyword "track" is a tracking ID you specify. 

route backup 0.0.0.0 0.0.0.0 10.250.250.1 254

!--- Define the backup route to use when the tracked object is unavailable. 
!--- The administrative distance of the backup route must be greater than 
!--- the administrative distance of the tracked route.
!--- If the primary gateway is unreachable, that route is removed
!--- and the backup route is installed in the routing table
!--- instead of the tracked route. 

timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
username cisco password ffIRPGpDSOJh9YLq encrypted
http server enable
http 172.22.1.0 255.255.255.0 inside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart

sla monitor 123
 type echo protocol ipIcmpEcho 10.0.0.1 interface outside
 num-packets 3
 frequency 10

!--- Configure a new monitoring process with the ID 123.  Specify the
!--- monitoring protocol and the target network object whose availability the tracking
!--- process monitors.  Specify the number of packets to be sent with each poll.
!--- Specify the rate at which the monitor process repeats (in seconds).

sla monitor schedule 123 life forever start-time now

!--- Schedule the monitoring process.  In this case the lifetime
!--- of the process is specified to be forever.  The process is scheduled to begin
!--- at the time this command is entered.  As configured, this command allows the
!--- monitoring configuration specified above to determine how often the testing
!--- occurs.  However, you can schedule this monitoring process to begin in the
!--- future and to only occur at specified times.

!
track 1 rtr 123 reachability

!--- Associate a tracked static route with the SLA monitoring process.
!--- The track ID corresponds to the track ID given to the static route to monitor:
!--- route outside 0.0.0.0 0.0.0.0 10.0.0.2 1 track 1
!--- "rtr" = Response Time Reporter entry.  123 is the ID of the SLA process
!--- defined above. 

telnet timeout 5
ssh timeout 5
console timeout 0
!
class-map inspection_default
 match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
 parameters
  message-length maximum 512
policy-map global_policy
 class inspection_default
  inspect dns preset_dns_map
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect netbios
  inspect rsh
  inspect rtsp
  inspect skinny
  inspect esmtp
  inspect sqlnet
  inspect sunrpc
  inspect tftp
  inspect sip
  inspect xdmcp
!
service-policy global_policy global
prompt hostname context
Cryptochecksum:a4a0e9be4593ad43bc17a1cc25e32dc2
: end

Настройка посредством ASDM

Для настройки избыточной или резервной поддержки интернет-провайдера с приложением ASDM выполните эти шаги:

  1. В приложении ASDM нажмите кнопку Configuration и щелкните Interfaces.

    /image/gif/paws/70559/pix-dual-isp02.gif

  2. Из списка интерфейсов выберите Ethernet0 и нажмите кнопку Edit.

    Появится следующее диалоговое окно.

    /image/gif/paws/70559/pix-dual-isp03.gif

  3. Установите флажок Enable Interface и введите заполните поля Name, Security Level, IP Address и Subnet Mask.

  4. Нажмите кнопку ОК, чтобы закрыть диалоговое окно.

  5. При необходимости настройте другие интерфейсы и нажмите кнопку Apply, чтобы обновить конфигурацию устройства безопасности.

    /image/gif/paws/70559/pix-dual-isp04.gif

  6. Нажмите кнопку Routing, расположенную на левой стороне приложения ASDM.

    /image/gif/paws/70559/pix-dual-isp05.gif

  7. Нажмите кнопку Add, чтобы добавить новые статические маршруты.

    Появится следующее диалоговое окно.

    /image/gif/paws/70559/pix-dual-isp06.gif

  8. Из раскрывающегося списка "Interface Name" выберите интерфейс для маршрута и настройте стандартный маршрут для достижения шлюза. В этом примере 10.0.0.1 — шлюз основного поставщика, а также объект мониторинга, осуществляемого с помощью эхо-запросов по протоколу ICMP.

  9. В области "Options" установите переключатель Tracked и заполните поля "Track ID", "SLA ID" и "Track IP Address".

  10. Нажмите кнопку Monitoring Options.

    Появится следующее диалоговое окно.

    /image/gif/paws/70559/pix-dual-isp07.gif

  11. Введите частотe и другие параметры мониторинга, затем нажмите кнопку ОК.

  12. Добавьте другой статический маршрут для вспомогательного поставщика, чтобы обеспечить маршрут для выхода в Интернет.

    Чтобы сделать этот маршрут вспомогательным, установите для него более высокую метрику, например 254. В случае сбоя основного маршрута (основного поставщика) неработающий маршрут будет удален из таблицы маршрутизации. Вместо него в таблицу маршрутизации PIX будет установлен вспомогательный маршрут (вспомогательный поставщик).

  13. Нажмите кнопку ОК, чтобы закрыть диалоговое окно.

    /image/gif/paws/70559/pix-dual-isp08.gif

    Конфигурации появятся в списке интерфейсов.

    /image/gif/paws/70559/pix-dual-isp09.gif

  14. Выберите конфигурацию маршрутизации и нажмите кнопку Apply, чтобы обновить конфигурацию устройства безопасности.

Проверка

Этот раздел позволяет убедиться, что конфигурация работает правильно.

Подтверждение завершения настройки

Используйте эти команды показа, чтобы проверить, что ваша конфигурация завершена.

Средство Output Interpreter (OIT) (только для зарегистрированных клиентов) поддерживает определенные команды show. Посредством OIT можно анализировать выходные данные команд show.

  • монитор SLA show running config — Отображает команды SLA в конфигурации.

    pix# show running-config sla monitor
    sla monitor 123
     type echo protocol ipIcmpEcho 10.0.0.1 interface outside
     num-packets 3
     frequency 10
    sla monitor schedule 123 life forever start-time now
    
  • show sla monitor configuration . Отображает текущие параметры конфигурации мониторинга.

    pix# show sla monitor configuration 123
    IP SLA Monitor, Infrastructure Engine-II.
    Entry number: 123
    Owner:
    Tag:
    Type of operation to perform: echo
    Target address: 10.0.0.1
    Interface: outside
    Number of packets: 3
    Request size (ARR data portion): 28
    Operation timeout (milliseconds): 5000
    Type Of Service parameters: 0x0
    Verify data: No
    Operation frequency (seconds): 10
    Next Scheduled Start Time: Start Time already passed
    Group Scheduled : FALSE
    Life (seconds): Forever
    Entry Ageout (seconds): never
    Recurring (Starting Everyday): FALSE
    Status of entry (SNMP RowStatus): Active
    Enhanced History:
  • show sla monitor operational-state. Отображает операционную статистику работы SLA.

    • До сбоя основного поставщика рабочее состояние выглядит так:

      pix# show sla monitor operational-state 123
      Entry number: 123
      Modification time: 13:59:37.824 UTC Thu Oct 12 2006
      Number of Octets Used by this Entry: 1480
      Number of operations attempted: 367
      Number of operations skipped: 0
      Current seconds left in Life: Forever
      Operational state of entry: Active
      Last time this entry was reset: Never
      Connection loss occurred: FALSE
      Timeout occurred: FALSE
      Over thresholds occurred: FALSE
      Latest RTT (milliseconds): 1
      Latest operation start time: 15:00:37.825 UTC Thu Oct 12 2006
      Latest operation return code: OK
      RTT Values:
      RTTAvg: 1       RTTMin: 1       RTTMax: 1
      NumOfRTT: 3     RTTSum: 3       RTTSum2: 3
    • После сбоя основного поставщика (и истечения времени ожидания эхо-запросов ICMP) рабочее состояние выглядит так:

      pix# show sla monitor operational-state
      Entry number: 123
      Modification time: 13:59:37.825 UTC Thu Oct 12 2006
      Number of Octets Used by this Entry: 1480
      Number of operations attempted: 385
      Number of operations skipped: 0
      Current seconds left in Life: Forever
      Operational state of entry: Active
      Last time this entry was reset: Never
      Connection loss occurred: FALSE
      Timeout occurred: TRUE
      Over thresholds occurred: FALSE
      Latest RTT (milliseconds): NoConnection/Busy/Timeout
      Latest operation start time: 15:03:27.825 UTC Thu Oct 12 2006
      Latest operation return code: Timeout
      RTT Values:
      RTTAvg: 0       RTTMin: 0       RTTMax: 0
      NumOfRTT: 0     RTTSum: 0       RTTSum2: 0
      

Подтверждение установки резервного маршрута (метод CLI)

Используйте команду show route для определения, когда будет установлен резервный маршрут.

  • До сбоя основного поставщика таблица маршрутизации выглядит так:

    pix# show route
    
    Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
           D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
           N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
           E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
           i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
           * - candidate default, U - per-user static route, o - ODR
           P - periodic downloaded static route
    
    Gateway of last resort is 10.200.159.1 to network 0.0.0.0
    
    S    64.101.0.0 255.255.0.0 [1/0] via 172.22.1.1, inside
    C    172.22.1.0 255.255.255.0 is directly connected, inside
    C    10.250.250.0 255.255.255.248 is directly connected, backup
    C    10.200.159.0 255.255.255.248 is directly connected, outside
    S*   0.0.0.0 0.0.0.0 [1/0] via 10.200.159.1, outside
    
  • После сбоя основного поставщика его статический маршрут удаляется и устанавливается резервный маршрут, а таблица маршрутизации выглядит так:

    pix(config)# show route
    
    Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
           D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
           N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
           E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
           i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
           * - candidate default, U - per-user static route, o - ODR
           P - periodic downloaded static route
    
    Gateway of last resort is 10.250.250.1 to network 0.0.0.0
    
    S    64.101.0.0 255.255.0.0 [1/0] via 172.22.1.1, inside
    C    172.22.1.0 255.255.255.0 is directly connected, inside
    C    10.250.250.0 255.255.255.248 is directly connected, backup
    C    10.200.159.0 255.255.255.248 is directly connected, outside
    S*   0.0.0.0 0.0.0.0 [254/0] via 10.250.250.1, backup
    

Подтверждение установки резервного маршрута (метод ASDM)

Чтобы подтвердить с ASDM, что резервный маршрут установлен, выполните эти шаги:

  1. Нажмите кнопку Monitoring и щелкните Routing.

  2. В дереве маршрутизации выберите Routes.

    • До сбоя основного поставщика таблица маршрутизации выглядит так:

      /image/gif/paws/70559/pix-dual-isp10.gif

      Маршрут DEFAULT направлен по адресу 10.0.0.2 через внешний интерфейс.

    • После сбоя основного поставщика его маршрут удаляется и устанавливается резервный маршрут. МАРШРУТ ПО УМОЛЧАНИЮ теперь указывает к 10.250.250.1 через резервный интерфейс.

      /image/gif/paws/70559/pix-dual-isp11.gif

Устранение неполадок

Команды "debug"

  • трассировка монитора SLA отладки — Отображает выполнение операции эха.

    • Отслеживаемый объект (шлюз основного поставщика) доступен, и эхо-запросы ICMP завершаются успешно.

      IP SLA Monitor(123) Scheduler: Starting an operation
      IP SLA Monitor(123) echo operation: Sending an echo operation
      IP SLA Monitor(123) echo operation: RTT=3 OK
      IP SLA Monitor(123) echo operation: RTT=3 OK
      IP SLA Monitor(123) echo operation: RTT=4 OK
      IP SLA Monitor(123) Scheduler: Updating result
    • Отслеживаемый объект (шлюз основного поставщика) недоступен, и эхо-запросы ICMP завершаются неудачно.

      IP SLA Monitor(123) Scheduler: Starting an operation
      IP SLA Monitor(123) echo operation: Sending an echo operation
      IP SLA Monitor(123) echo operation: Timeout
      IP SLA Monitor(123) echo operation: Timeout
      IP SLA Monitor(123) echo operation: Timeout
      IP SLA Monitor(123) Scheduler: Updating result
  • debug sla monitor error. Отображает сведения об ошибках, с которыми сталкивается монитор SLA.

    • Отслеживаемый объект (шлюз основного поставщика) доступен, и эхо-запрос ICMP завершается успешно.

      %PIX-7-609001: Built local-host NP Identity Ifc:10.200.159.2
      %PIX-7-609001: Built local-host outside:10.0.0.1
      %PIX-6-302020: Built ICMP connection for faddr 10.0.0.1/0 gaddr 
                     10.200.159.2/52696 laddr 10.200.159.2/52696
      %PIX-6-302021: Teardown ICMP connection for faddr 10.0.0.1/0 gaddr 
                     10.200.159.2/52696 laddr 10.200.159.2/52696
      %PIX-7-609002: Teardown local-host NP Identity Ifc:10.200.159.2 duration 
                     0:00:00
      %PIX-7-609002: Teardown local-host outside:10.0.0.1 duration 0:00:00
      %PIX-7-609001: Built local-host NP Identity Ifc:10.200.159.2
      %PIX-7-609001: Built local-host outside:10.0.0.1
      %PIX-6-302020: Built ICMP connection for faddr 10.0.0.1/0 gaddr 
                     0.200.159.2/52697 laddr 10.200.159.2/52697
      %PIX-6-302021: Teardown ICMP connection for faddr 10.0.0.1/0 gaddr 
                     10.200.159.2/52697 laddr 10.200.159.2/52697
      %PIX-7-609002: Teardown local-host NP Identity Ifc:10.200.159.2 
                     duration 0:00:00
      %PIX-7-609002: Teardown local-host outside:10.0.0.1 duration 0:00:00
    • Отслеживаемый объект (шлюз основного поставщика) недоступен, и отслеживаемый маршрут удаляется.

      %PIX-7-609001: Built local-host NP Identity Ifc:10.200.159.2
      %PIX-7-609001: Built local-host outside:10.0.0.1
      %PIX-6-302020: Built ICMP connection for faddr 10.0.0.1/0 gaddr 
                     10.200.159.2/6405 laddr 10.200.159.2/6405
      %PIX-6-302020: Built ICMP connection for faddr 10.0.0.1/0 gaddr  
                     10.200.159.2/6406 laddr 10.200.159.2/6406
      %PIX-6-302020: Built ICMP connection for faddr 10.0.0.1/0 gaddr  
                     10.200.159.2/6407 laddr 10.200.159.2/6407
      %PIX-6-302021: Teardown ICMP connection for faddr 10.0.0.1/0 gaddr  
                     10.200.159.2/6405 laddr 10.200.159.2/6405
      %PIX-6-302021: Teardown ICMP connection for faddr 10.0.0.1/0 gaddr  
                     10.200.159.2/6406 laddr 10.200.159.2/6406
      %PIX-6-302021: Teardown ICMP connection for faddr 10.0.0.1/0 gaddr  
                     10.200.159.2/6407 laddr 10.200.159.2/6407
      %PIX-7-609002: Teardown local-host NP Identity Ifc:10.200.159.2 
                     duration 0:00:02
      %PIX-7-609002: Teardown local-host outside:10.0.0.1 duration 0:00:02
      %PIX-6-622001: Removing tracked route 0.0.0.0 0.0.0.0 10.200.159.1,  
                     distance 1, table Default-IP-Routing-Table, on interface 
                     outside
      
      !--- 10.0.0.1 is unreachable, so the route to the Primary ISP is removed.
      
      

Ненужное удаление отслеживаемого маршрута

Если отслеживаемый маршрут удален излишне, гарантируйте, что ваша цель мониторинга всегда доступна для получения запросов эха. Кроме того, убедитесь, что состояние объекта мониторинга (т.е. достижим ли он) тесно связано с состоянием подключения к основному поставщику.

Если выбрать объект мониторинга, который расположен дальше шлюза поставщика, может произойти сбой другого канала по этому маршруту или вмешательство другого устройства. При такой конфигурации монитор SLA может заключить, что произошел сбой подключения к основному поставщику, что приведет к ненужному переходу устройства безопасности на канал вспомогательного поставщика.

Например, если в качестве объекта мониторинга выбран маршрутизатор филиала компании, то возможен сбой подключения поставщика к этому филиалу, а также сбой любого другого канала на всем пути. Как только эхо-запросы ICMP, отправляемые в процессе мониторинга, завершаются неудачно, основной отслеживаемый маршрут удаляется, даже если канал основного поставщика остается активным.

В этом примере шлюз основного поставщика, используемый как объект отслеживания, управляется поставщиком услуг Интернета и располагается на другой стороне канала поставщика. Эта конфигурация гарантирует, что, если эхо-запросы ICMP, отправляемые в процессе мониторинга, завершаются неудачно, канал поставщика почти наверняка не работает.

SLA, контролирующий на ASA

Проблема:

Мониторинг SLA не работает после того, как ASA является обновлением к версии 8.0.

Решение:

Проблема возможно произойти из-за команды IP Reverse-Path, настроенной во Внешнем интерфейсе. Удалите команду в ASA и попытку проверить Мониторинг SLA.


Дополнительные сведения


Document ID: 70559