Adaptive Security Appliance Equal Cost Konfigurationsbeispiel mit mehreren Pfaden

Download-Optionen

  • PDF     (253.8 KB)
    Mit Adobe Reader auf verschiedenen Geräten anzeigen
Aktualisiert:21. März 2013
Dokument-ID:115986

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

Einleitung

Dieses Dokument enthält Informationen zur Konfiguration der Adaptive Security Appliance (ASA) mit bis zu drei Routen zu gleichen Kosten zum gleichen Zielnetzwerk pro Schnittstelle. Die ASA hasht die Quell- und Ziel-IP-Adressen des ausgehenden Pakets, um zu bestimmen, welche Route verwendet wird, um den nächsten Hop für das Paket zu bestimmen (die ASA verwendet keinen Round-Robin-Algorithmus, um den nächsten Hop auszuwählen). Im Gegensatz zum Round-Robin-Lastenausgleich werden Pakete mit demselben Quell- und Zielpaar immer an denselben nächsten Hop gesendet, wie dies für den berechneten Hash gilt.

Voraussetzungen

Anforderungen

Es gibt keine spezifischen Anforderungen für dieses Dokument.

Verwendete Komponenten

Dieses Dokument ist nicht auf bestimmte Software- und Hardware-Versionen beschränkt.

Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netz Live ist, überprüfen Sie, ob Sie die mögliche Auswirkung jedes möglichen Befehls verstehen.

Konventionen

Weitere Informationen zu Dokumentkonventionen finden Sie unter Cisco Technical Tips Conventions (Technische Tipps von Cisco zu Konventionen).

Konfigurieren

In diesem Abschnitt erfahren Sie, wie Sie die in diesem Dokument beschriebenen Funktionen konfigurieren können.

Hinweis: Verwenden Sie das Tool für die Suche nach Befehlen (nur registrierte Kunden), um weitere Informationen zu den in diesem Abschnitt verwendeten Befehlen zu erhalten.

Konfigurationen

In diesem Dokument werden die folgenden Konfigurationen beschrieben:

  • Zur Durchführung des ECMP verwendete statische Routen

  • Open Shortest Path First Routing Protocol für ECMP

Zur Durchführung des ECMP verwendete statische Routen

Dieses Beispiel zeigt statische Routen, bei denen es sich um kostengleiche Routen handelt, die den Datenverkehr an drei verschiedene Gateways der externen Schnittstelle weiterleiten. Die Sicherheits-Appliance verteilt den Datenverkehr auf die angegebenen Gateways, basierend auf der Quell- und Ziel-IP-Adresse im Paket.

Mehrere statische Routen, die ECMP verwenden, sind nur auf derselben Schnittstelle verfügbar. ECMP wird nicht über mehrere Schnittstellen unterstützt.

ASA-Beispielkonfiguration:

route outside 10.10.10.0 255.255.255.0 192.168.1.1
route outside 10.10.10.0 255.255.255.0 192.168.1.2
route outside 10.10.10.0 255.255.255.0 192.168.1.3

Routenausgabe auf ASA anzeigen:

S 10.10.10.0 255.255.255.0 [1/0] via 192.168.1.1, outside
                                    [1/0] via 192.168.1.2, outside
                                    [1/0] via 192.168.1.3, outside

Open Shortest Path First Routing Protocol für ECMP

Open Shortest Path First (OSPF) kann für die Verwendung von ECMP konfiguriert werden, indem Routen mit demselben Kostenpfad bereitgestellt werden. Das nachfolgende Beispiel zeigt die Verwendung von OSPF zwischen einer ASA und zwei benachbarten Routern.

In diesem Beispiel werden auf den beiden Routern auf der Außenseite OSPF ausgeführt, die so konfiguriert sind, dass Standard-Routen in die ASA eingespeist werden. Standard-Routen werden der Routing-Tabelle der ASA hinzugefügt. Da sie dieselben Metriken senden, werden sie dem Standard-Zielnetzwerk als ECMPs hinzugefügt.

OSPF wird in diesem Dokument vorgestellt. Es können jedoch alle von der ASA unterstützten Routing-Protokolle verwendet werden, z. B. EIGRP (Enhanced Interior Gateway Routing Protocol).

Konfigurationsbeispiel

ASA:

router ospf 10
 network 10.10.10.0 255.255.255.0 area 0
 log-adj-changes

Router 1:

router ospf 10
 network 10.10.10.0 0.0.0.255 area 0 
 default-information originate metric 10

Router 2:

router ospf 10
 network 10.10.10.0 0.0.0.255 area 0 
 default-information originate metric 10

Mit dem Befehl default-information originate wird die Metrik auf 10 gesetzt. Wenn dieser Befehl von der ASA empfangen wird, wird die Route mit demselben Kostenpfad installiert.

Routenausgabe auf ASA anzeigen:

O*E2 0.0.0.0 0.0.0.0 [110/1] via 10.10.10.1, 0:10:18, outside
                            [110/1] via 10.10.10.2, 0:10:18, outside

Überprüfung

Für diese Konfiguration ist derzeit kein Überprüfungsverfahren verfügbar.

Fehlerbehebung

Wenn EIGRP zur Durchführung von ECMP verwendet wird, finden Sie weitere Informationen unter Cisco Bug-ID CSCti54545 (nur für registrierte Kunden). Die EIGRP-Metriken werden auf der ASA nicht ordnungsgemäß aktualisiert.

Zugehörige Informationen

Revisionsverlauf

Überarbeitung Veröffentlichungsdatum Kommentare
1.0
20-Feb-2013
Erstveröffentlichung
TAC Authored

Beiträge von Cisco Ingenieuren

War dieses Dokument hilfreich?

FeedbackFeedback

Cisco kontaktieren

Dieses Dokument gilt für folgende Produkte.