تكوين ECMP باستخدام IP SLA على FTD المدارة بواسطة FMC

خيارات التنزيل

  • PDF     (1.1 MB)
    عرض باستخدام Adobe Reader على مجموعة متنوعة من الأجهزة
  • ePub     (932.4 KB)
    العرض في تطبيقات مختلفة على iPhone أو iPad أو نظام تشغيل Android أو قارئ Sony أو نظام التشغيل Windows Phone
  • Mobi (Kindle)     (931.6 KB)
    عرض على جهاز Kindle أو تطبيق Kindle على أجهزة متعددة
تم التحديث:١٦ فبراير ٢٠٢٤
معرّف المستند:221692

لغة خالية من التحيز

تسعى مجموعة الوثائق لهذا المنتج جاهدة لاستخدام لغة خالية من التحيز. لأغراض مجموعة الوثائق هذه، يتم تعريف "خالية من التحيز" على أنها لغة لا تعني التمييز على أساس العمر، والإعاقة، والجنس، والهوية العرقية، والهوية الإثنية، والتوجه الجنسي، والحالة الاجتماعية والاقتصادية، والتمييز متعدد الجوانب. قد تكون الاستثناءات موجودة في الوثائق بسبب اللغة التي يتم تشفيرها بشكل ثابت في واجهات المستخدم الخاصة ببرنامج المنتج، أو اللغة المستخدمة بناءً على وثائق RFP، أو اللغة التي يستخدمها منتج الجهة الخارجية المُشار إليه. تعرّف على المزيد حول كيفية استخدام Cisco للغة الشاملة.

حول هذه الترجمة

ترجمت Cisco هذا المستند باستخدام مجموعة من التقنيات الآلية والبشرية لتقديم محتوى دعم للمستخدمين في جميع أنحاء العالم بلغتهم الخاصة. يُرجى ملاحظة أن أفضل ترجمة آلية لن تكون دقيقة كما هو الحال مع الترجمة الاحترافية التي يقدمها مترجم محترف. تخلي Cisco Systems مسئوليتها عن دقة هذه الترجمات وتُوصي بالرجوع دائمًا إلى المستند الإنجليزي الأصلي (الرابط متوفر).

    المقدمة

    يوضح هذا المستند كيفية تكوين ECMP مع IP SLA على FTD تتم إدارته بواسطة FMC.

    المتطلبات الأساسية

    المتطلبات

    توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:

    • تكوين ECMP على الدفاع الآمن عن تهديد جدار الحماية (FTD) من Cisco
    • تكوين IP SLA على الدفاع الآمن عن تهديد جدار الحماية (FTD) من Cisco
    • مركز إدارة جدار الحماية الآمن (FMC) من Cisco

    المكونات المستخدمة

    أسست المعلومة في هذا وثيقة على هذا برمجية وجهاز صيغة:

    • Cisco FTD، الإصدار 7.4.1

    • Cisco FMC، الإصدار 7.4.1

    تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.

    معلومات أساسية

    يصف هذا المستند كيفية تكوين إتفاقية مستوى خدمة بروتوكول الإنترنت (IP SLA) متساوية التكلفة متعددة المسارات (ECMP) مع إتفاقية مستوى خدمة بروتوكول الإنترنت (IP SLA) على بروتوكول FTD من Cisco تتم إدارته بواسطة Cisco FMC. يسمح ECMP لك بتجميع الواجهات معا على FTD وتوازن الأحمال لحركة مرور البيانات عبر الواجهات المتعددة. يعد IP SLA آلية تراقب الاتصال النهائي من خلال تبادل الحزم العادية. وبالإضافة إلى ECMP، يمكن تنفيذ IP SLA لضمان توفر الخطوة التالية. في هذا المثال، يتم إستخدام ECMP لتوزيع الحزم بالتساوي على دوائري مزود خدمة الإنترنت (ISP). وفي الوقت نفسه، تقوم إتفاقية مستوى الخدمة لبروتوكول الإنترنت (IP) بتعقب الاتصال، مما يضمن الانتقال بسلاسة إلى أي دوائر متوفرة في حالة حدوث عطل.

    تتضمن المتطلبات الخاصة لهذا المستند:

    • الوصول إلى الأجهزة باستخدام حساب مستخدم بامتيازات المسؤول
    • Cisco Secure Firewall Threat Defense، الإصدار 7.1 أو إصدار أعلى
    • Cisco Secure Firewall Management Center، الإصدار 7.1 أو إصدار أعلى

    التكوين

    الرسم التخطيطي للشبكة

    في هذا المثال، يحتوي برنامج FTD من Cisco على واجهتين خارجيتين: خارج1 وخارج2 . يتصل كل واحد منها ببوابة ISP، خارج1 وخارج 2 ينتمي إلى منطقة ECMP نفسها المسماة خارج.

    يتم توجيه حركة المرور من الشبكة الداخلية من خلال بروتوكول FTD والحصول على موازنة الأحمال إلى الإنترنت من خلال مزودي خدمة الإنترنت (ISP).

    في الوقت نفسه، يستخدم FTD إتفاقيات مستوى خدمة IP لمراقبة الاتصال بكل بوابة ISP. في حال تعطل أي من دوائر ISP، يتم تجاوز فشل FTD إلى بوابة ISP الأخرى للحفاظ على إستمرارية الأعمال.

    Network Diagramالرسم التخطيطي للشبكة

    التكوينات

    الخطوة 0. التكوين المسبق للواجهات/كائنات الشبكة

    قم بتسجيل الدخول إلى واجهة المستخدم الرسومية (GUI) الخاصة بالويب ل FMC، وحدد الأجهزة>إدارة الأجهزة وانقر فوق زر تحرير لجهاز الدفاع عن التهديد الخاص بك. يتم تحديد صفحة الواجهات بشكل افتراضي. طقطقة يحرر زر للقارن أنت تريد أن يحرر، في هذا مثال GigabitEthernet0/0.

    Edit Interface Gi0/0تحرير الواجهة gi0/0

    في نافذة تحرير الواجهة الفعلية، أسفل علامة التبويب عام:

    1. ثبتت الإسم، في هذه الحالة خارج 1.
    2. قم بتمكين الواجهة من خلال تحديد خانة الاختيار تمكين.
    3. في القائمة المنسدلة منطقة الأمان"، حدد منطقة أمان موجودة أو قم بإنشاء منطقة أمان جديدة، في هذا المثال خارج1_Zone.

    Interface Gi0/0 Generalواجهة gi0/0 عامة

    تحت علامة التبويب IPv4:

    1. أختر أحد الخيارات من القائمة المنسدلة نوع IP، في هذا المثال إستخدام IP الثابت.
    2. ثبتت العنوان، في هذا مثال 10.1.1.1/24.
    3. وانقر فوق OK.

    Interface Gi0/0 IPv4واجهة Gi0/0 IPv4

    كرر خطوة مماثلة لتكوين الواجهة GigabitEthernet0/1، في نافذة Edit Physical Interface، ضمن علامة التبويب General:

    1. ثبتت الإسم، في هذه الحالة خارج 2.
    2. قم بتمكين الواجهة من خلال تحديد خانة الاختيار تمكين.
    3. في القائمة المنسدلة منطقة الأمان، حدد منطقة أمان موجودة أو قم بإنشاء منطقة أمان جديدة في هذا المثال خارج2_Zone.

    Interface Gi0/1 Generalواجهة gi0/1 عامة

    تحت علامة التبويب IPv4:

    1. أختر أحد الخيارات من القائمة المنسدلة نوع IP، في هذا المثال إستخدام IP الثابت.
    2. ثبتت العنوان، في هذا مثال 10.1.2.1/24.
    3. وانقر فوق OK.
      Interface Gi0/1 IPv4واجهة Gi0/1 IPv4

    كرر خطوة مماثلة لتكوين الواجهة GigabitEthernet0/2، في نافذة Edit Physical Interface، ضمن علامة التبويب General:

    1. ثبتت الإسم، في هذه الحالة داخل.
    2. قم بتمكين الواجهة من خلال تحديد خانة الاختيار تمكين.
    3. في القائمة المنسدلة منطقة الأمان"، حدد منطقة أمان موجودة أو قم بإنشاء منطقة أمان جديدة، في هذا المثال على Inside_Zone.

    Interface Gi0/2 Generalواجهة gi0/2 عامة

    تحت علامة التبويب IPv4:

    1. أختر أحد الخيارات من القائمة المنسدلة نوع IP، في هذا المثال إستخدام IP الثابت.
    2. ثبتت العنوان، في هذا مثال 10.1.3.1/24.
    3. وانقر فوق OK.

    Interface Gi0/2 IPv4واجهة Gi0/2 IPv4

    انقر فوق حفظ التكوين ونشره.

    انتقل إلى كائنات > إدارة الكائن، أختر شبكة من قائمة أنواع الكائنات، واختر إضافة كائن من القائمة المنسدلة إضافة شبكة لإنشاء كائن لبوابة ISP الأولى.

    Network Objectكائن الشبكة

    في نافذة كائن الشبكة الجديد:

    1. ثبتت الإسم، في هذا مثال gw-outside1.
    2. في حقل الشبكة، حدد الخيار المطلوب وأدخل قيمة مناسبة، في هذا المثال المضيف و10.1.1.2.
    3. انقر فوق حفظ.

    Object Gw-outside1كائن GW-خارجي1

    كرر خطوات مماثلة لإنشاء كائن آخر لبوابة ISP الثانية. في نافذة كائن الشبكة الجديد:

    1. ثبتت الإسم، في هذا مثال GW-خارجي2.
    2. في حقل الشبكة، حدد الخيار المطلوب وأدخل قيمة مناسبة، في هذا المثال المضيف و10.1.2.2.
    3. انقر فوق حفظ.

    Object Gw-outside2كائن GW-خارجي2

    الخطوة 1. تكوين منطقة ECMP

    انتقل إلى الأجهزة > إدارة الجهاز وحرر جهاز الدفاع عن التهديد، انقر على التوجيه. من القائمة المنسدلة الخاصة بالموجه الظاهري، حدد الموجه الظاهري الذي تريد إنشاء منطقة ECMP فيه. يمكنك إنشاء مناطق ECMP في الموجه الظاهري العالمي والموجهات الافتراضية المعرفة من قبل المستخدم. في هذا المثال، أختر عام

    انقر فوق ECMP، ثم انقر فوق إضافة.

    Configure ECMP Zoneتكوين منطقة ECMP

    في نافذة إضافة بروتوكول رسائل التحكم في الإنترنت (ECMP):

    1. قم بتعيين اسم منطقة ECMP، في هذا المثال خارج.
    2. لربط الواجهات، حدد الواجهة ضمن مربع الواجهات المتاحة، ثم انقر إضافة. في هذا المثال خارج 1 وخارج 2.
    3. وانقر فوق OK.

    Configure ECMP Zone Outsideتكوين منطقة ECMP في الخارج

    انقر فوق حفظ التكوين ونشره.

    الخطوة 2. تكوين كائنات IP SLA

    انتقل إلى كائنات > إدارة الكائن، واختر شاشة SLA من قائمة أنواع الكائنات، انقر فوق إضافة شاشة SLA لإضافة شاشة SLA جديدة لبوابة ISP الأولى.

    Create SLA Monitorإنشاء شاشة SLA

    في نافذة كائن مراقبة SLA الجديدة:

    1. قم بتعيين الاسم لكائن جهاز مراقبة SLA، في هذه الحالة SLA-outside1.
    2. أدخل رقم معرف عملية SLA في حقل معرف مدرب SLA. تتراوح القيم من 1 إلى 2147483647. يمكنك إنشاء حد أقصى لعمليات SLA على الجهاز. يجب أن يكون كل رقم معرف فريدا للنهج وتكوين الجهاز. في هذا المثال 1.
    3. أدخل عنوان IP الذي يتم مراقبته للتوفر بواسطة عملية SLA، في حقل العنوان المراقب. في هذا المثال 10.1.1.2.
    4. تعرض قائمة المناطق/الواجهات المتاحة كلا من المناطق ومجموعات الواجهة. في قائمة المناطق/الواجهات، أضف المناطق أو مجموعات الواجهة التي تحتوي على الواجهات التي يتصل الجهاز من خلالها بمحطة الإدارة. لتحديد واجهة واحدة، يلزمك إنشاء منطقة أو مجموعات الواجهة للواجهة. في هذا المثال خارج1_zone.
    5. انقر فوق حفظ.

    SLA Object Sla-outside1SLA Object SLA-Outside1

    كرر الخطوات المماثلة لإنشاء شاشة SLA أخرى لبوابة ISP الثانية.

    في نافذة كائن مراقبة SLA الجديدة:

    1. قم بتعيين الاسم لكائن جهاز مراقبة SLA، في هذه الحالة SLA-Outside2.
    2. أدخل رقم معرف عملية SLA في حقل معرف مدرب SLA. تتراوح القيم من 1 إلى 2147483647. يمكنك إنشاء حد أقصى لعمليات SLA على الجهاز. يجب أن يكون كل رقم معرف فريدا للنهج وتكوين الجهاز. في هذا المثال 2.
    3. أدخل عنوان IP الذي يتم مراقبته للتوفر بواسطة عملية SLA، في حقل العنوان المراقب. في هذا المثال 10.1.2.2.
    4. تعرض قائمة المناطق/الواجهات المتاحة كلا من المناطق ومجموعات الواجهة. في قائمة المناطق/الواجهات، أضف المناطق أو مجموعات الواجهة التي تحتوي على الواجهات التي يتصل الجهاز من خلالها بمحطة الإدارة. لتحديد واجهة واحدة، يلزمك إنشاء منطقة أو مجموعات الواجهة للواجهة. في هذا المثال خارج2_zone.
    5. انقر فوق حفظ.

    SLA Object Sla-outside2SLA Object SLA-Outside2

    الخطوة 3. تكوين المسارات الثابتة باستخدام مسار المسار

    انتقل إلى الأجهزة>إدارة الجهاز، وحرر جهاز الدفاع عن التهديد، انقر فوق التوجيه، من القائمة المنسدلة الموجهات الظاهرية، وحدد الموجه الظاهري الذي تقوم بتكوين مسار ثابت له. في هذا المثال عمومي.

    حدد مسار ثابت، انقر فوق إضافة مسار لإضافة المسار الافتراضي إلى بوابة ISP الأولى.

    Configure Static Routeتكوين المسار الثابت

    في نافذة إضافة تكوين مسار ثابت:

    1. انقر فوق IPv4 أو IPv6 استنادا إلى نوع المسار الثابت الذي تقوم بإضافته. في هذا المثال IPv4.
    2. أخترت القارن إلى أي هذا ممر ساكن إستاتيكي يطبق. في هذا المثال خارج 1.
    3. في قائمة الشبكة المتاحة، أختر الشبكة الوجهة. في هذا المثال، any-IPv4.
    4. في حقل العبارة أو عبارة IPv6، أدخل موجه العبارة أو اختاره وهو الخطوة التالية لهذا المسار. يمكنك توفير عنوان IP أو كائن شبكات/بيئات مضيفة. في هذا المثال GW-outside1.
    5. في الحقل المتري، أدخل عدد الخطوات إلى شبكة الوجهة. تتراوح القيم الصالحة من 1 إلى 255؛ القيمة الافتراضية هي 1. في هذا المثال 1.
    6. لمراقبة توفر المسار، أدخل أو أختر اسم كائن مراقبة SLA الذي يحدد سياسة المراقبة، في حقل تعقب المسار. في هذا المثال، SLA-outside1.
    7. وانقر فوق OK.

    Add Static Route First ISPإضافة المسار الثابت أولا ISP

    كرر الخطوات المماثلة لإضافة المسار الافتراضي إلى بوابة ISP الثانية. في نافذة إضافة تكوين مسار ثابت:

    1. انقر فوق IPv4 أو IPv6 استنادا إلى نوع المسار الثابت الذي تقوم بإضافته. في هذا المثال IPv4.
    2. أخترت القارن إلى أي هذا ممر ساكن إستاتيكي يطبق. في هذا المثال خارج2.
    3. في قائمة الشبكة المتاحة، أختر الشبكة الوجهة. في هذا المثال، any-IPv4.
    4. في حقل العبارة أو عبارة IPv6، أدخل موجه العبارة أو اختاره وهو الخطوة التالية لهذا المسار. يمكنك توفير عنوان IP أو كائن شبكات/بيئات مضيفة. في هذا المثال GW-Outside2.
    5. في الحقل المتري، أدخل عدد الخطوات إلى شبكة الوجهة. تتراوح القيم الصالحة من 1 إلى 255؛ القيمة الافتراضية هي 1. تأكد من تحديد نفس القياس كالمسار الأول، في هذا المثال 1.
    6. لمراقبة توفر المسار، أدخل أو أختر اسم كائن مراقبة SLA الذي يحدد سياسة المراقبة، في حقل تعقب المسار. في هذا المثال، إتفاقية مستوى الخدمة (SLA)-outside2.
    7. وانقر فوق OK.

    Add Static Route Second ISPإضافة موجه ساكن إستاتيكي ثان ISP

    انقر فوق حفظ التكوين ونشره.

    التحقق من الصحة

    قم بتسجيل الدخول إلى واجهة سطر الأوامر (CLI) الخاصة ب FTD، ثم قم بتشغيل الأمر  show zone  للتحقق من معلومات حول مناطق حركة مرور ECMP، بما في ذلك الواجهات التي تشكل جزءا من كل منطقة.

    > show zone
    Zone: Outside ecmp
    Security-level: 0
    Zone member(s): 2
    Outside2 GigabitEthernet0/1
    Outside1 GigabitEthernet0/0

    قم بتشغيل الأمرshow running-config routeللتحقق من التكوين الجاري تشغيله لتكوين التوجيه، في هذه الحالة هناك موجهان ثابتان مع مسارات المسار.

    > show running-config route
    route Outside1 0.0.0.0 0.0.0.0 10.1.1.2 1 track 1
    route Outside2 0.0.0.0 0.0.0.0 10.1.2.2 1 track 2

    قم بتشغيل الأمرshow routeللتحقق من جدول التوجيه، في هذه الحالة هناك مساران افتراضيان هما عبر الواجهة خارج1 و خارج2 بالتكلفة المتساوية، يمكن توزيع حركة المرور بين دائرتين ISP.

    > show route

    Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
    D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area 
    N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
    E1 - OSPF external type 1, E2 - OSPF external type 2, V - VPN
    i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
    ia - IS-IS inter area, * - candidate default, U - per-user static route
    o - ODR, P - periodic downloaded static route, + - replicated route
    SI - Static InterVRF, BI - BGP InterVRF
    Gateway of last resort is 10.1.2.2 to network 0.0.0.0

    S* 0.0.0.0 0.0.0.0 [1/0] via 10.1.2.2, Outside2
                       [1/0] via 10.1.1.2, Outside1
    C 10.1.1.0 255.255.255.0 is directly connected, Outside1
    L 10.1.1.1 255.255.255.255 is directly connected, Outside1
    C 10.1.2.0 255.255.255.0 is directly connected, Outside2
    L 10.1.2.1 255.255.255.255 is directly connected, Outside2
    C 10.1.3.0 255.255.255.0 is directly connected, Inside
    L 10.1.3.1 255.255.255.255 is directly connected, Inside

    قم بتشغيل الأمر  show sla monitor configuration  للتحقق من تكوين شاشة SLA.

    > show sla monitor configuration
    SA Agent, Infrastructure Engine-II
    Entry number: 1
    Owner: 
    Tag: 
    Type of operation to perform: echo
    Target address: 10.1.1.2
    Interface: Outside1
    Number of packets: 1
    Request size (ARR data portion): 28
    Operation timeout (milliseconds): 5000
    Type Of Service parameters: 0x0
    Verify data: No
    Operation frequency (seconds): 60
    Next Scheduled Start Time: Start Time already passed
    Group Scheduled : FALSE
    Life (seconds): Forever
    Entry Ageout (seconds): never
    Recurring (Starting Everyday): FALSE
    Status of entry (SNMP RowStatus): Active
    Enhanced History:

    Entry number: 2
    Owner: 
    Tag: 
    Type of operation to perform: echo
    Target address: 10.1.2.2
    Interface: Outside2
    Number of packets: 1
    Request size (ARR data portion): 28
    Operation timeout (milliseconds): 5000
    Type Of Service parameters: 0x0
    Verify data: No
    Operation frequency (seconds): 60
    Next Scheduled Start Time: Start Time already passed
    Group Scheduled : FALSE
    Life (seconds): Forever
    Entry Ageout (seconds): never
    Recurring (Starting Everyday): FALSE
    Status of entry (SNMP RowStatus): Active
    Enhanced History:

    قم بتشغيل الأمرshow sla monitor operational-stateلتأكيد حالة شاشة SLA. في هذه الحالة، يمكنك العثور على المهلة التي حدثت: خطأ" في إخراج الأمر، يشير إلى أن صدى ICMP إلى البوابة يتم الرد، لذلك يكون المسار الافتراضي من خلال واجهة الهدف نشطا ويتم تثبيته في جدول التوجيه.

    > show sla monitor operational-state
    Entry number: 1
    Modification time: 09:31:28.785 UTC Thu Feb 15 2024
    Number of Octets Used by this Entry: 2056
    Number of operations attempted: 82
    Number of operations skipped: 0
    Current seconds left in Life: Forever
    Operational state of entry: Active
    Last time this entry was reset: Never
    Connection loss occurred: FALSE
    Timeout occurred: FALSE
    Over thresholds occurred: FALSE
    Latest RTT (milliseconds): 1
    Latest operation start time: 10:52:28.785 UTC Thu Feb 15 2024
    Latest operation return code: OK
    RTT Values:
    RTTAvg: 1 RTTMin: 1 RTTMax: 1
    NumOfRTT: 1 RTTSum: 1 RTTSum2: 1

    Entry number: 2
    Modification time: 09:31:28.785 UTC Thu Feb 15 2024
    Number of Octets Used by this Entry: 2056
    Number of operations attempted: 82
    Number of operations skipped: 0
    Current seconds left in Life: Forever
    Operational state of entry: Active
    Last time this entry was reset: Never
    Connection loss occurred: FALSE
    Timeout occurred: FALSE
    Over thresholds occurred: FALSE
    Latest RTT (milliseconds): 1
    Latest operation start time: 10:52:28.785 UTC Thu Feb 15 2024
    Latest operation return code: OK
    RTT Values:
    RTTAvg: 1 RTTMin: 1 RTTMax: 1
    NumOfRTT: 1 RTTSum: 1 RTTSum2: 1

    موازنة التحميل

    حركة مرور أولية عبر بروتوكول FTD للتحقق من ما إذا كان حمل بروتوكول ECMP يعمل على موازنة حركة مرور البيانات بين البوابات في منطقة ECMP. في هذه الحالة، قم ببدء اتصال برنامج Telnet من Inside-Host1 (10.1.3.2) و Inside-Host2 (10.1.3.4) إلى Internet-Host (10.1.5.2)، قم بتشغيل الأمر  show conn  لتأكيد أن حركة المرور تكون متوازنة الحمل بين ربطي ISP، و Inside-Host1 (10.1.3.2) تمر عبر الواجهة out1، و Inside-Host2 (10.1.3.4) تمر عبر الواجهة خارج2.

    > show conn
    2 in use, 3 most used
    Inspect Snort:
    preserve-connection: 2 enabled, 0 in effect, 2 most enabled, 0 most in effect

    TCP Inside 10.1.3.2:46069 Outside1 10.1.5.2:23, idle 0:00:24, bytes 1329, flags UIO N1
    TCP Inside 10.1.3.4:61915 Outside2 10.1.5.2:23, idle 0:00:04, bytes 1329, flags UIO N1
    note-icon

    ملاحظة: يتم موازنة حمل حركة المرور بين البوابات المحددة استنادا إلى خوارزمية تجزئ عناوين IP للمصدر والوجهة والواجهة الواردة والبروتوكول والمصدر والوجهة. عندما تقوم بتشغيل الاختبار، حركة المرور التي تحاكيها يمكن توجيهها إلى نفس البوابة بسبب خوارزمية التجزئة، هذا متوقع، غيرت أي قيمة بين المجموعات 6 (مصدر ip، غاية ip، قارن قادم، بروتوكول، مصدر ميناء، غاية ميناء) أن يجعل تغير على نتيجة التجزئة.

    طريق ضائع

    إذا كان الارتباط إلى بوابة ISP الأولى معطلا، في هذه الحالة، فقم بإيقاف تشغيل موجه العبارة الأول لمحاكاته. إذا لم يستلم FTD ردا على ECHO من بوابة ISP الأولى داخل مؤقت الحد المحدد في كائن "مراقبة SLA"، يتم إعتبار المضيف غير قابل للوصول وتم وضع علامة عليه كأسفل. كما تتم إزالة المسار المتعقب إلى البوابة الأولى من جدول التوجيه.

    قم بتشغيل الأمرshow sla monitor operational-stateلتأكيد الحالة الحالية لشاشة SLA. في هذه الحالة، يمكنك العثور على "المهلة حدثت: true" في إخراج الأمر، يشير إلى أن صدى ICMP إلى بوابة ISP الأولى لا يستجيب.

    > show sla monitor operational-state
    Entry number: 1
    Modification time: 09:31:28.783 UTC Thu Feb 15 2024
    Number of Octets Used by this Entry: 2056
    Number of operations attempted: 104
    Number of operations skipped: 0
    Current seconds left in Life: Forever
    Operational state of entry: Active
    Last time this entry was reset: Never
    Connection loss occurred: FALSE
    Timeout occurred: TRUE
    Over thresholds occurred: FALSE
    Latest RTT (milliseconds): NoConnection/Busy/Timeout
    Latest operation start time: 11:14:28.813 UTC Thu Feb 15 2024
    Latest operation return code: Timeout
    RTT Values:
    RTTAvg: 0 RTTMin: 0 RTTMax: 0
    NumOfRTT: 0 RTTSum: 0 RTTSum2: 0

    Entry number: 2
    Modification time: 09:31:28.783 UTC Thu Feb 15 2024
    Number of Octets Used by this Entry: 2056
    Number of operations attempted: 104
    Number of operations skipped: 0
    Current seconds left in Life: Forever
    Operational state of entry: Active
    Last time this entry was reset: Never
    Connection loss occurred: FALSE
    Timeout occurred: FALSE
    Over thresholds occurred: FALSE
    Latest RTT (milliseconds): 1
    Latest operation start time: 11:14:28.813 UTC Thu Feb 15 2024
    Latest operation return code: OK
    RTT Values:
    RTTAvg: 1 RTTMin: 1 RTTMax: 1
    NumOfRTT: 1 RTTSum: 1 RTTSum2: 1

    قم بتشغيل الأمر للتحقق  show route  من جدول التوجيه الحالي، فيتم إزالة المسار إلى أول بوابة ISP من خلال الواجهة خارج 1، وهناك مسار افتراضي واحد فقط نشط إلى بوابة ISP الثانية من خلال الواجهة خارج2.

    > show route

    Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
    D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area 
    N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
    E1 - OSPF external type 1, E2 - OSPF external type 2, V - VPN
    i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
    ia - IS-IS inter area, * - candidate default, U - per-user static route
    o - ODR, P - periodic downloaded static route, + - replicated route
    SI - Static InterVRF, BI - BGP InterVRF
    Gateway of last resort is 10.1.2.2 to network 0.0.0.0

    S* 0.0.0.0 0.0.0.0 [1/0] via 10.1.2.2, Outside2
    C 10.1.1.0 255.255.255.0 is directly connected, Outside1
    L 10.1.1.1 255.255.255.255 is directly connected, Outside1
    C 10.1.2.0 255.255.255.0 is directly connected, Outside2
    L 10.1.2.1 255.255.255.255 is directly connected, Outside2
    C 10.1.3.0 255.255.255.0 is directly connected, Inside
    L 10.1.3.1 255.255.255.255 is directly connected, Inside

    قم بتشغيل الأمرshow conn، يمكنك العثور على الوصلتين ما زالتا قيد التشغيل. تكون جلسات عمل Telnet نشطة أيضا على Inside-Host1 (10.1.3.2) و Inside-Host2 (10.1.3.4) دون أي مقاطعة.

    > show conn
    2 in use, 3 most used
    Inspect Snort:
    preserve-connection: 2 enabled, 0 in effect, 2 most enabled, 0 most in effect

    TCP Inside 10.1.3.2:46069 Outside1 10.1.5.2:23, idle 0:00:22, bytes 1329, flags UIO N1
    TCP Inside 10.1.3.4:61915 Outside2 10.1.5.2:23, idle 0:00:02, bytes 1329, flags UIO N1
    note-icon

    ملاحظة: أنت يستطيع لاحظت في الإنتاج منshow conn، telnet جلسة من Inside-Host1 (10.1.3.2) لا يزال من خلال قارن خارج 1، رغم أن التقصير ممر من خلال قارن خارج 1 يتلقى يكون أزلت من تحشد طاولة. هذا متوقع وحسب التصميم، تتدفق حركة المرور الفعلية من خلال الواجهة خارج 2. إذا قمت ببدء اتصال جديد من Inside-Host1 (10.1.3.2) إلى Internet-Host (10.1.5.2)، فيمكنك العثور على حركة المرور كلها من خلال الواجهة خارج2.

    استكشاف الأخطاء وإصلاحها

    للتحقق من صحة تغيير جدول التوجيه، قم بتشغيل الأمرdebug ip routing.

    في هذا المثال، عندما يكون الارتباط ببوابة ISP الأولى معطلا، تتم إزالة المسار عبر الواجهة خارج1 من جدول التوجيه.

    > debug ip routing
    IP routing debugging is on

    RT: ip_route_delete 0.0.0.0 0.0.0.0 via 10.1.1.2, Outside1
    ha_cluster_synced 0 routetype 0

    RT: del 0.0.0.0 via 10.1.1.2, static metric [1/0]NP-route: Delete-Output 0.0.0.0/0 hop_count:1 , via 0.0.0.0, Outside1

    RT(mgmt-only): NP-route: Update-Output 0.0.0.0/0 hop_count:1 , via 10.1.2.2, Outside2

    NP-route: Update-Input 0.0.0.0/0 hop_count:1 Distance:1 Flags:0X0 , via 10.1.2.2, Outside2

    قم بتشغيل الأمرshow routeلتأكيد جدول التوجيه الحالي.

    > show route

    Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
    D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area 
    N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
    E1 - OSPF external type 1, E2 - OSPF external type 2, V - VPN
    i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
    ia - IS-IS inter area, * - candidate default, U - per-user static route
    o - ODR, P - periodic downloaded static route, + - replicated route
    SI - Static InterVRF, BI - BGP InterVRF
    Gateway of last resort is 10.1.2.2 to network 0.0.0.0

    S* 0.0.0.0 0.0.0.0 [1/0] via 10.1.2.2, Outside2
    C 10.1.1.0 255.255.255.0 is directly connected, Outside1
    L 10.1.1.1 255.255.255.255 is directly connected, Outside1
    C 10.1.2.0 255.255.255.0 is directly connected, Outside2
    L 10.1.2.1 255.255.255.255 is directly connected, Outside2
    C 10.1.3.0 255.255.255.0 is directly connected, Inside
    L 10.1.3.1 255.255.255.255 is directly connected, Inside

    عندما يتم تشغيل الارتباط بواجهة ISP الأولى مرة أخرى، تتم إضافة المسار عبر الواجهة خارج1 مرة أخرى إلى جدول التوجيه.

    > debug ip routing
    IP routing debugging is on
    NP-route: Update-Output 0.0.0.0/0 hop_count:1 , via 10.1.2.2, Outside2
    NP-route: Update-Output 0.0.0.0/0 hop_count:1 , via 10.1.1.2, Outside2
    NP-route: Update-Input 0.0.0.0/0 hop_count:2 Distance:1 Flags:0X0 , via 10.1.2.2, Outside2
     via 10.1.1.2, Outside1

    قم بتشغيل الأمرshow routeلتأكيد جدول التوجيه الحالي.

    > show route

    Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
    D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area 
    N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
    E1 - OSPF external type 1, E2 - OSPF external type 2, V - VPN
    i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
    ia - IS-IS inter area, * - candidate default, U - per-user static route
    o - ODR, P - periodic downloaded static route, + - replicated route
    SI - Static InterVRF, BI - BGP InterVRF
    Gateway of last resort is 10.1.2.2 to network 0.0.0.0

    S* 0.0.0.0 0.0.0.0 [1/0] via 10.1.2.2, Outside2
                       [1/0] via 10.1.1.2, Outside1
    C 10.1.1.0 255.255.255.0 is directly connected, Outside1
    L 10.1.1.1 255.255.255.255 is directly connected, Outside1
    C 10.1.2.0 255.255.255.0 is directly connected, Outside2
    L 10.1.2.1 255.255.255.255 is directly connected, Outside2
    C 10.1.3.0 255.255.255.0 is directly connected, Inside
    L 10.1.3.1 255.255.255.255 is directly connected, Inside

    محفوظات المراجعة

    المراجعة تاريخ النشر التعليقات
    1.0
    16-Feb-2024
    الإصدار الأولي
    TAC Authored

    تمت المساهمة بواسطة مهندسو Cisco

    • Chao Feng

    هل كان هذا المستند مفيدًا؟

    Feedbackالتعليقات

    اتصل بنا

    ينطبق هذا المستند على هذه المنتجات