Dieses Dokument enthält Informationen zur Konfiguration der Adaptive Security Appliance (ASA) mit bis zu drei Routen zu gleichen Kosten zum gleichen Zielnetzwerk pro Schnittstelle. Die ASA hasht die Quell- und Ziel-IP-Adressen des ausgehenden Pakets, um zu bestimmen, welche Route verwendet wird, um den nächsten Hop für das Paket zu bestimmen (die ASA verwendet keinen Round-Robin-Algorithmus, um den nächsten Hop auszuwählen). Im Gegensatz zum Round-Robin-Lastenausgleich werden Pakete mit demselben Quell- und Zielpaar immer an denselben nächsten Hop gesendet, wie dies für den berechneten Hash gilt.
Es gibt keine spezifischen Anforderungen für dieses Dokument.
Dieses Dokument ist nicht auf bestimmte Software- und Hardware-Versionen beschränkt.
Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netz Live ist, überprüfen Sie, ob Sie die mögliche Auswirkung jedes möglichen Befehls verstehen.
Weitere Informationen zu Dokumentkonventionen finden Sie unter Cisco Technical Tips Conventions (Technische Tipps von Cisco zu Konventionen).
In diesem Abschnitt erfahren Sie, wie Sie die in diesem Dokument beschriebenen Funktionen konfigurieren können.
Hinweis: Verwenden Sie das Tool für die Suche nach Befehlen (nur registrierte Kunden), um weitere Informationen zu den in diesem Abschnitt verwendeten Befehlen zu erhalten.
In diesem Dokument werden die folgenden Konfigurationen beschrieben:
Zur Durchführung des ECMP verwendete statische Routen
Open Shortest Path First Routing Protocol für ECMP
Zur Durchführung des ECMP verwendete statische Routen
Dieses Beispiel zeigt statische Routen, bei denen es sich um kostengleiche Routen handelt, die den Datenverkehr an drei verschiedene Gateways der externen Schnittstelle weiterleiten. Die Sicherheits-Appliance verteilt den Datenverkehr auf die angegebenen Gateways, basierend auf der Quell- und Ziel-IP-Adresse im Paket.
Mehrere statische Routen, die ECMP verwenden, sind nur auf derselben Schnittstelle verfügbar. ECMP wird nicht über mehrere Schnittstellen unterstützt.
ASA-Beispielkonfiguration:
route outside 10.10.10.0 255.255.255.0 192.168.1.1 route outside 10.10.10.0 255.255.255.0 192.168.1.2 route outside 10.10.10.0 255.255.255.0 192.168.1.3
Routenausgabe auf ASA anzeigen:
S 10.10.10.0 255.255.255.0 [1/0] via 192.168.1.1, outside [1/0] via 192.168.1.2, outside [1/0] via 192.168.1.3, outside
Open Shortest Path First Routing Protocol für ECMP
Open Shortest Path First (OSPF) kann für die Verwendung von ECMP konfiguriert werden, indem Routen mit demselben Kostenpfad bereitgestellt werden. Das nachfolgende Beispiel zeigt die Verwendung von OSPF zwischen einer ASA und zwei benachbarten Routern.
In diesem Beispiel werden auf den beiden Routern auf der Außenseite OSPF ausgeführt, die so konfiguriert sind, dass Standard-Routen in die ASA eingespeist werden. Standard-Routen werden der Routing-Tabelle der ASA hinzugefügt. Da sie dieselben Metriken senden, werden sie dem Standard-Zielnetzwerk als ECMPs hinzugefügt.
OSPF wird in diesem Dokument vorgestellt. Es können jedoch alle von der ASA unterstützten Routing-Protokolle verwendet werden, z. B. EIGRP (Enhanced Interior Gateway Routing Protocol).
Konfigurationsbeispiel
ASA:
router ospf 10 network 10.10.10.0 255.255.255.0 area 0 log-adj-changes
Router 1:
router ospf 10 network 10.10.10.0 0.0.0.255 area 0 default-information originate metric 10
Router 2:
router ospf 10 network 10.10.10.0 0.0.0.255 area 0 default-information originate metric 10
Mit dem Befehl default-information originate wird die Metrik auf 10 gesetzt. Wenn dieser Befehl von der ASA empfangen wird, wird die Route mit demselben Kostenpfad installiert.
Routenausgabe auf ASA anzeigen:
O*E2 0.0.0.0 0.0.0.0 [110/1] via 10.10.10.1, 0:10:18, outside [110/1] via 10.10.10.2, 0:10:18, outside
Für diese Konfiguration ist derzeit kein Überprüfungsverfahren verfügbar.
Wenn EIGRP zur Durchführung von ECMP verwendet wird, finden Sie weitere Informationen unter Cisco Bug-ID CSCti54545 (nur für registrierte Kunden). Die EIGRP-Metriken werden auf der ASA nicht ordnungsgemäß aktualisiert.
Überarbeitung | Veröffentlichungsdatum | Kommentare |
---|---|---|
1.0 |
20-Feb-2013
|
Erstveröffentlichung |