تسعى مجموعة الوثائق لهذا المنتج جاهدة لاستخدام لغة خالية من التحيز. لأغراض مجموعة الوثائق هذه، يتم تعريف "خالية من التحيز" على أنها لغة لا تعني التمييز على أساس العمر، والإعاقة، والجنس، والهوية العرقية، والهوية الإثنية، والتوجه الجنسي، والحالة الاجتماعية والاقتصادية، والتمييز متعدد الجوانب. قد تكون الاستثناءات موجودة في الوثائق بسبب اللغة التي يتم تشفيرها بشكل ثابت في واجهات المستخدم الخاصة ببرنامج المنتج، أو اللغة المستخدمة بناءً على وثائق RFP، أو اللغة التي يستخدمها منتج الجهة الخارجية المُشار إليه. تعرّف على المزيد حول كيفية استخدام Cisco للغة الشاملة.
ترجمت Cisco هذا المستند باستخدام مجموعة من التقنيات الآلية والبشرية لتقديم محتوى دعم للمستخدمين في جميع أنحاء العالم بلغتهم الخاصة. يُرجى ملاحظة أن أفضل ترجمة آلية لن تكون دقيقة كما هو الحال مع الترجمة الاحترافية التي يقدمها مترجم محترف. تخلي Cisco Systems مسئوليتها عن دقة هذه الترجمات وتُوصي بالرجوع دائمًا إلى المستند الإنجليزي الأصلي (الرابط متوفر).
يوضح هذا المستند كيفية تكوين ECMP مع IP SLA على FTD تتم إدارته بواسطة FMC.
توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:
أسست المعلومة في هذا وثيقة على هذا برمجية وجهاز صيغة:
Cisco FTD، الإصدار 7.4.1
Cisco FMC، الإصدار 7.4.1
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.
يصف هذا المستند كيفية تكوين إتفاقية مستوى خدمة بروتوكول الإنترنت (IP SLA) متساوية التكلفة متعددة المسارات (ECMP) مع إتفاقية مستوى خدمة بروتوكول الإنترنت (IP SLA) على بروتوكول FTD من Cisco تتم إدارته بواسطة Cisco FMC. يسمح ECMP لك بتجميع الواجهات معا على FTD وتوازن الأحمال لحركة مرور البيانات عبر الواجهات المتعددة. يعد IP SLA آلية تراقب الاتصال النهائي من خلال تبادل الحزم العادية. وبالإضافة إلى ECMP، يمكن تنفيذ IP SLA لضمان توفر الخطوة التالية. في هذا المثال، يتم إستخدام ECMP لتوزيع الحزم بالتساوي على دوائري مزود خدمة الإنترنت (ISP). وفي الوقت نفسه، تقوم إتفاقية مستوى الخدمة لبروتوكول الإنترنت (IP) بتعقب الاتصال، مما يضمن الانتقال بسلاسة إلى أي دوائر متوفرة في حالة حدوث عطل.
تتضمن المتطلبات الخاصة لهذا المستند:
في هذا المثال، يحتوي برنامج FTD من Cisco على واجهتين خارجيتين: خارج1 وخارج2 . يتصل كل واحد منها ببوابة ISP، خارج1 وخارج 2 ينتمي إلى منطقة ECMP نفسها المسماة خارج.
يتم توجيه حركة المرور من الشبكة الداخلية من خلال بروتوكول FTD والحصول على موازنة الأحمال إلى الإنترنت من خلال مزودي خدمة الإنترنت (ISP).
في الوقت نفسه، يستخدم FTD إتفاقيات مستوى خدمة IP لمراقبة الاتصال بكل بوابة ISP. في حال تعطل أي من دوائر ISP، يتم تجاوز فشل FTD إلى بوابة ISP الأخرى للحفاظ على إستمرارية الأعمال.
الرسم التخطيطي للشبكة
قم بتسجيل الدخول إلى واجهة المستخدم الرسومية (GUI) الخاصة بالويب ل FMC، وحدد الأجهزة>إدارة الأجهزة وانقر فوق زر تحرير لجهاز الدفاع عن التهديد الخاص بك. يتم تحديد صفحة الواجهات بشكل افتراضي. طقطقة يحرر زر للقارن أنت تريد أن يحرر، في هذا مثال GigabitEthernet0/0.
تحرير الواجهة gi0/0
في نافذة تحرير الواجهة الفعلية، أسفل علامة التبويب عام:
واجهة gi0/0 عامة
تحت علامة التبويب IPv4:
واجهة Gi0/0 IPv4
كرر خطوة مماثلة لتكوين الواجهة GigabitEthernet0/1، في نافذة Edit Physical Interface، ضمن علامة التبويب General:
واجهة gi0/1 عامة
تحت علامة التبويب IPv4:
كرر خطوة مماثلة لتكوين الواجهة GigabitEthernet0/2، في نافذة Edit Physical Interface، ضمن علامة التبويب General:
واجهة gi0/2 عامة
تحت علامة التبويب IPv4:
واجهة Gi0/2 IPv4
انقر فوق حفظ التكوين ونشره.
انتقل إلى كائنات > إدارة الكائن، أختر شبكة من قائمة أنواع الكائنات، واختر إضافة كائن من القائمة المنسدلة إضافة شبكة لإنشاء كائن لبوابة ISP الأولى.
كائن الشبكة
في نافذة كائن الشبكة الجديد:
كائن GW-خارجي1
كرر خطوات مماثلة لإنشاء كائن آخر لبوابة ISP الثانية. في نافذة كائن الشبكة الجديد:
كائن GW-خارجي2
انتقل إلى الأجهزة > إدارة الجهاز وحرر جهاز الدفاع عن التهديد، انقر على التوجيه. من القائمة المنسدلة الخاصة بالموجه الظاهري، حدد الموجه الظاهري الذي تريد إنشاء منطقة ECMP فيه. يمكنك إنشاء مناطق ECMP في الموجه الظاهري العالمي والموجهات الافتراضية المعرفة من قبل المستخدم. في هذا المثال، أختر عام.
انقر فوق ECMP، ثم انقر فوق إضافة.
تكوين منطقة ECMP
في نافذة إضافة بروتوكول رسائل التحكم في الإنترنت (ECMP):
تكوين منطقة ECMP في الخارج
انقر فوق حفظ التكوين ونشره.
انتقل إلى كائنات > إدارة الكائن، واختر شاشة SLA من قائمة أنواع الكائنات، انقر فوق إضافة شاشة SLA لإضافة شاشة SLA جديدة لبوابة ISP الأولى.
إنشاء شاشة SLA
في نافذة كائن مراقبة SLA الجديدة:
SLA Object SLA-Outside1
كرر الخطوات المماثلة لإنشاء شاشة SLA أخرى لبوابة ISP الثانية.
في نافذة كائن مراقبة SLA الجديدة:
SLA Object SLA-Outside2
انتقل إلى الأجهزة>إدارة الجهاز، وحرر جهاز الدفاع عن التهديد، انقر فوق التوجيه، من القائمة المنسدلة الموجهات الظاهرية، وحدد الموجه الظاهري الذي تقوم بتكوين مسار ثابت له. في هذا المثال عمومي.
حدد مسار ثابت، انقر فوق إضافة مسار لإضافة المسار الافتراضي إلى بوابة ISP الأولى.
تكوين المسار الثابت
في نافذة إضافة تكوين مسار ثابت:
إضافة المسار الثابت أولا ISP
كرر الخطوات المماثلة لإضافة المسار الافتراضي إلى بوابة ISP الثانية. في نافذة إضافة تكوين مسار ثابت:
إضافة موجه ساكن إستاتيكي ثان ISP
انقر فوق حفظ التكوين ونشره.
قم بتسجيل الدخول إلى واجهة سطر الأوامر (CLI) الخاصة ب FTD، ثم قم بتشغيل الأمر show zone
للتحقق من معلومات حول مناطق حركة مرور ECMP، بما في ذلك الواجهات التي تشكل جزءا من كل منطقة.
> show zone
Zone: Outside ecmp
Security-level: 0
Zone member(s): 2
Outside2 GigabitEthernet0/1
Outside1 GigabitEthernet0/0
قم بتشغيل الأمرshow running-config route
للتحقق من التكوين الجاري تشغيله لتكوين التوجيه، في هذه الحالة هناك موجهان ثابتان مع مسارات المسار.
> show running-config route
route Outside1 0.0.0.0 0.0.0.0 10.1.1.2 1 track 1
route Outside2 0.0.0.0 0.0.0.0 10.1.2.2 1 track 2
قم بتشغيل الأمرshow route
للتحقق من جدول التوجيه، في هذه الحالة هناك مساران افتراضيان هما عبر الواجهة خارج1 و خارج2 بالتكلفة المتساوية، يمكن توزيع حركة المرور بين دائرتين ISP.
> show route
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2, V - VPN
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
o - ODR, P - periodic downloaded static route, + - replicated route
SI - Static InterVRF, BI - BGP InterVRF
Gateway of last resort is 10.1.2.2 to network 0.0.0.0
S* 0.0.0.0 0.0.0.0 [1/0] via 10.1.2.2, Outside2
[1/0] via 10.1.1.2, Outside1
C 10.1.1.0 255.255.255.0 is directly connected, Outside1
L 10.1.1.1 255.255.255.255 is directly connected, Outside1
C 10.1.2.0 255.255.255.0 is directly connected, Outside2
L 10.1.2.1 255.255.255.255 is directly connected, Outside2
C 10.1.3.0 255.255.255.0 is directly connected, Inside
L 10.1.3.1 255.255.255.255 is directly connected, Inside
قم بتشغيل الأمر show sla monitor configuration
للتحقق من تكوين شاشة SLA.
> show sla monitor configuration
SA Agent, Infrastructure Engine-II
Entry number: 1
Owner:
Tag:
Type of operation to perform: echo
Target address: 10.1.1.2
Interface: Outside1
Number of packets: 1
Request size (ARR data portion): 28
Operation timeout (milliseconds): 5000
Type Of Service parameters: 0x0
Verify data: No
Operation frequency (seconds): 60
Next Scheduled Start Time: Start Time already passed
Group Scheduled : FALSE
Life (seconds): Forever
Entry Ageout (seconds): never
Recurring (Starting Everyday): FALSE
Status of entry (SNMP RowStatus): Active
Enhanced History:
Entry number: 2
Owner:
Tag:
Type of operation to perform: echo
Target address: 10.1.2.2
Interface: Outside2
Number of packets: 1
Request size (ARR data portion): 28
Operation timeout (milliseconds): 5000
Type Of Service parameters: 0x0
Verify data: No
Operation frequency (seconds): 60
Next Scheduled Start Time: Start Time already passed
Group Scheduled : FALSE
Life (seconds): Forever
Entry Ageout (seconds): never
Recurring (Starting Everyday): FALSE
Status of entry (SNMP RowStatus): Active
Enhanced History:
قم بتشغيل الأمرshow sla monitor operational-state
لتأكيد حالة شاشة SLA. في هذه الحالة، يمكنك العثور على المهلة التي حدثت: خطأ" في إخراج الأمر، يشير إلى أن صدى ICMP إلى البوابة يتم الرد، لذلك يكون المسار الافتراضي من خلال واجهة الهدف نشطا ويتم تثبيته في جدول التوجيه.
> show sla monitor operational-state
Entry number: 1
Modification time: 09:31:28.785 UTC Thu Feb 15 2024
Number of Octets Used by this Entry: 2056
Number of operations attempted: 82
Number of operations skipped: 0
Current seconds left in Life: Forever
Operational state of entry: Active
Last time this entry was reset: Never
Connection loss occurred: FALSE
Timeout occurred: FALSE
Over thresholds occurred: FALSE
Latest RTT (milliseconds): 1
Latest operation start time: 10:52:28.785 UTC Thu Feb 15 2024
Latest operation return code: OK
RTT Values:
RTTAvg: 1 RTTMin: 1 RTTMax: 1
NumOfRTT: 1 RTTSum: 1 RTTSum2: 1
Entry number: 2
Modification time: 09:31:28.785 UTC Thu Feb 15 2024
Number of Octets Used by this Entry: 2056
Number of operations attempted: 82
Number of operations skipped: 0
Current seconds left in Life: Forever
Operational state of entry: Active
Last time this entry was reset: Never
Connection loss occurred: FALSE
Timeout occurred: FALSE
Over thresholds occurred: FALSE
Latest RTT (milliseconds): 1
Latest operation start time: 10:52:28.785 UTC Thu Feb 15 2024
Latest operation return code: OK
RTT Values:
RTTAvg: 1 RTTMin: 1 RTTMax: 1
NumOfRTT: 1 RTTSum: 1 RTTSum2: 1
حركة مرور أولية عبر بروتوكول FTD للتحقق من ما إذا كان حمل بروتوكول ECMP يعمل على موازنة حركة مرور البيانات بين البوابات في منطقة ECMP. في هذه الحالة، قم ببدء اتصال برنامج Telnet من Inside-Host1 (10.1.3.2) و Inside-Host2 (10.1.3.4) إلى Internet-Host (10.1.5.2)، قم بتشغيل الأمر show conn
لتأكيد أن حركة المرور تكون متوازنة الحمل بين ربطي ISP، و Inside-Host1 (10.1.3.2) تمر عبر الواجهة out1، و Inside-Host2 (10.1.3.4) تمر عبر الواجهة خارج2.
> show conn
2 in use, 3 most used
Inspect Snort:
preserve-connection: 2 enabled, 0 in effect, 2 most enabled, 0 most in effect
TCP Inside 10.1.3.2:46069 Outside1 10.1.5.2:23, idle 0:00:24, bytes 1329, flags UIO N1
TCP Inside 10.1.3.4:61915 Outside2 10.1.5.2:23, idle 0:00:04, bytes 1329, flags UIO N1
ملاحظة: يتم موازنة حمل حركة المرور بين البوابات المحددة استنادا إلى خوارزمية تجزئ عناوين IP للمصدر والوجهة والواجهة الواردة والبروتوكول والمصدر والوجهة. عندما تقوم بتشغيل الاختبار، حركة المرور التي تحاكيها يمكن توجيهها إلى نفس البوابة بسبب خوارزمية التجزئة، هذا متوقع، غيرت أي قيمة بين المجموعات 6 (مصدر ip، غاية ip، قارن قادم، بروتوكول، مصدر ميناء، غاية ميناء) أن يجعل تغير على نتيجة التجزئة.
إذا كان الارتباط إلى بوابة ISP الأولى معطلا، في هذه الحالة، فقم بإيقاف تشغيل موجه العبارة الأول لمحاكاته. إذا لم يستلم FTD ردا على ECHO من بوابة ISP الأولى داخل مؤقت الحد المحدد في كائن "مراقبة SLA"، يتم إعتبار المضيف غير قابل للوصول وتم وضع علامة عليه كأسفل. كما تتم إزالة المسار المتعقب إلى البوابة الأولى من جدول التوجيه.
قم بتشغيل الأمرshow sla monitor operational-state
لتأكيد الحالة الحالية لشاشة SLA. في هذه الحالة، يمكنك العثور على "المهلة حدثت: true" في إخراج الأمر، يشير إلى أن صدى ICMP إلى بوابة ISP الأولى لا يستجيب.
> show sla monitor operational-state
Entry number: 1
Modification time: 09:31:28.783 UTC Thu Feb 15 2024
Number of Octets Used by this Entry: 2056
Number of operations attempted: 104
Number of operations skipped: 0
Current seconds left in Life: Forever
Operational state of entry: Active
Last time this entry was reset: Never
Connection loss occurred: FALSE
Timeout occurred: TRUE
Over thresholds occurred: FALSE
Latest RTT (milliseconds): NoConnection/Busy/Timeout
Latest operation start time: 11:14:28.813 UTC Thu Feb 15 2024
Latest operation return code: Timeout
RTT Values:
RTTAvg: 0 RTTMin: 0 RTTMax: 0
NumOfRTT: 0 RTTSum: 0 RTTSum2: 0
Entry number: 2
Modification time: 09:31:28.783 UTC Thu Feb 15 2024
Number of Octets Used by this Entry: 2056
Number of operations attempted: 104
Number of operations skipped: 0
Current seconds left in Life: Forever
Operational state of entry: Active
Last time this entry was reset: Never
Connection loss occurred: FALSE
Timeout occurred: FALSE
Over thresholds occurred: FALSE
Latest RTT (milliseconds): 1
Latest operation start time: 11:14:28.813 UTC Thu Feb 15 2024
Latest operation return code: OK
RTT Values:
RTTAvg: 1 RTTMin: 1 RTTMax: 1
NumOfRTT: 1 RTTSum: 1 RTTSum2: 1
قم بتشغيل الأمر للتحقق show route
من جدول التوجيه الحالي، فيتم إزالة المسار إلى أول بوابة ISP من خلال الواجهة خارج 1، وهناك مسار افتراضي واحد فقط نشط إلى بوابة ISP الثانية من خلال الواجهة خارج2.
> show route
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2, V - VPN
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
o - ODR, P - periodic downloaded static route, + - replicated route
SI - Static InterVRF, BI - BGP InterVRF
Gateway of last resort is 10.1.2.2 to network 0.0.0.0
S* 0.0.0.0 0.0.0.0 [1/0] via 10.1.2.2, Outside2
C 10.1.1.0 255.255.255.0 is directly connected, Outside1
L 10.1.1.1 255.255.255.255 is directly connected, Outside1
C 10.1.2.0 255.255.255.0 is directly connected, Outside2
L 10.1.2.1 255.255.255.255 is directly connected, Outside2
C 10.1.3.0 255.255.255.0 is directly connected, Inside
L 10.1.3.1 255.255.255.255 is directly connected, Inside
قم بتشغيل الأمرshow conn
، يمكنك العثور على الوصلتين ما زالتا قيد التشغيل. تكون جلسات عمل Telnet نشطة أيضا على Inside-Host1 (10.1.3.2) و Inside-Host2 (10.1.3.4) دون أي مقاطعة.
> show conn
2 in use, 3 most used
Inspect Snort:
preserve-connection: 2 enabled, 0 in effect, 2 most enabled, 0 most in effect
TCP Inside 10.1.3.2:46069 Outside1 10.1.5.2:23, idle 0:00:22, bytes 1329, flags UIO N1
TCP Inside 10.1.3.4:61915 Outside2 10.1.5.2:23, idle 0:00:02, bytes 1329, flags UIO N1
ملاحظة: أنت يستطيع لاحظت في الإنتاج منshow conn
، telnet جلسة من Inside-Host1 (10.1.3.2) لا يزال من خلال قارن خارج 1، رغم أن التقصير ممر من خلال قارن خارج 1 يتلقى يكون أزلت من تحشد طاولة. هذا متوقع وحسب التصميم، تتدفق حركة المرور الفعلية من خلال الواجهة خارج 2. إذا قمت ببدء اتصال جديد من Inside-Host1 (10.1.3.2) إلى Internet-Host (10.1.5.2)، فيمكنك العثور على حركة المرور كلها من خلال الواجهة خارج2.
للتحقق من صحة تغيير جدول التوجيه، قم بتشغيل الأمرdebug ip routing
.
في هذا المثال، عندما يكون الارتباط ببوابة ISP الأولى معطلا، تتم إزالة المسار عبر الواجهة خارج1 من جدول التوجيه.
> debug ip routing
IP routing debugging is on
RT: ip_route_delete 0.0.0.0 0.0.0.0 via 10.1.1.2, Outside1
ha_cluster_synced 0 routetype 0
RT: del 0.0.0.0 via 10.1.1.2, static metric [1/0]NP-route: Delete-Output 0.0.0.0/0 hop_count:1 , via 0.0.0.0, Outside1
RT(mgmt-only): NP-route: Update-Output 0.0.0.0/0 hop_count:1 , via 10.1.2.2, Outside2
NP-route: Update-Input 0.0.0.0/0 hop_count:1 Distance:1 Flags:0X0 , via 10.1.2.2, Outside2
قم بتشغيل الأمرshow route
لتأكيد جدول التوجيه الحالي.
> show route
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2, V - VPN
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
o - ODR, P - periodic downloaded static route, + - replicated route
SI - Static InterVRF, BI - BGP InterVRF
Gateway of last resort is 10.1.2.2 to network 0.0.0.0
S* 0.0.0.0 0.0.0.0 [1/0] via 10.1.2.2, Outside2
C 10.1.1.0 255.255.255.0 is directly connected, Outside1
L 10.1.1.1 255.255.255.255 is directly connected, Outside1
C 10.1.2.0 255.255.255.0 is directly connected, Outside2
L 10.1.2.1 255.255.255.255 is directly connected, Outside2
C 10.1.3.0 255.255.255.0 is directly connected, Inside
L 10.1.3.1 255.255.255.255 is directly connected, Inside
عندما يتم تشغيل الارتباط بواجهة ISP الأولى مرة أخرى، تتم إضافة المسار عبر الواجهة خارج1 مرة أخرى إلى جدول التوجيه.
> debug ip routing
IP routing debugging is on
NP-route: Update-Output 0.0.0.0/0 hop_count:1 , via 10.1.2.2, Outside2
NP-route: Update-Output 0.0.0.0/0 hop_count:1 , via 10.1.1.2, Outside2
NP-route: Update-Input 0.0.0.0/0 hop_count:2 Distance:1 Flags:0X0 , via 10.1.2.2, Outside2
via 10.1.1.2, Outside1
قم بتشغيل الأمرshow route
لتأكيد جدول التوجيه الحالي.
> show route
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2, V - VPN
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
o - ODR, P - periodic downloaded static route, + - replicated route
SI - Static InterVRF, BI - BGP InterVRF
Gateway of last resort is 10.1.2.2 to network 0.0.0.0
S* 0.0.0.0 0.0.0.0 [1/0] via 10.1.2.2, Outside2
[1/0] via 10.1.1.2, Outside1
C 10.1.1.0 255.255.255.0 is directly connected, Outside1
L 10.1.1.1 255.255.255.255 is directly connected, Outside1
C 10.1.2.0 255.255.255.0 is directly connected, Outside2
L 10.1.2.1 255.255.255.255 is directly connected, Outside2
C 10.1.3.0 255.255.255.0 is directly connected, Inside
L 10.1.3.1 255.255.255.255 is directly connected, Inside
المراجعة | تاريخ النشر | التعليقات |
---|---|---|
1.0 |
16-Feb-2024
|
الإصدار الأولي |