Configuración de ISP dual en FTD mediante FDM

Opciones de descarga

  • PDF     (1.8 MB)
    Visualice con Adobe Reader en una variedad de dispositivos
  • ePub     (1.6 MB)
    Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (1.6 MB)
    Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos
Actualizado:17 de junio de 2025
ID del documento:223114

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

    Introducción

    Este documento describe cómo configurar la conmutación por fallo del proveedor de servicios de Internet (ISP) dual mediante el Administrador de dispositivos de firewall (FDM) para la serie de firewall seguro.

    Prerequisites

    Requirements

    Cisco recomienda que tenga conocimiento sobre estos temas:

    • Routing básico
    • Conocimiento del panel del administrador de dispositivos de firewall

    • Al menos 2 proveedores de servicios de Internet conectados al firewall seguro.

    Componentes Utilizados

    La información que contiene este documento se basa en las siguientes versiones de software y hardware.

    · Cisco Secure Firewall con la versión 7.7.X o versiones posteriores.

    · Secure Firewall 3130 con versión 7.7.0.

    La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.

    Configurar

    Paso 1.

    Inicie sesión en FDM en Secure Firewall y navegue hasta la sección de interfaces seleccionando el botón View All Interfaces.

    FDM Main DashboardPanel principal de FDM

    Paso 2.

    Para configurar la interfaz para la conexión del ISP primario, comience seleccionando la interfaz que desee. Seleccionar el botón de interfaz correspondiente para continuar. En este ejemplo, la interfaz utilizada es Ethernet1/1.

    Interfaces TabFicha Interfaces

    Paso 3.

    Configure la interfaz con los parámetros correctos para su conexión ISP principal. En este ejemplo, la interfaz es outside_primary.

    Configuration of Primary ISP interfaceConfiguración de la interfaz ISP principal

    Paso 4.

    Repita el mismo proceso para la interfaz ISP secundaria. En este ejemplo, se utiliza la interfaz Ethernet1/2.

    Configuration of Secondary ISP InterfaceConfiguración de la interfaz ISP secundaria

    Paso 5.

    Después de configurar las dos interfaces para los ISP, el siguiente paso es configurar el Monitor de SLA para la interfaz principal.

    Vaya a la sección Objetos seleccionando el botón Objetos situado en la parte superior del menú.

    Configured InterfacesInterfaces configuradas

    Paso 6.

    Seleccione en la columna de la izquierda el botón Monitores de SLA.

    Objects ScreenPantalla Objetos

    Paso 7.

    Cree un nuevo monitor de SLA seleccionando el botón Create SLA Monitor.

    SLA Monitor SectionSección Supervisión de SLA

    Paso 8.

    Configure los parámetros para la conexión del ISP primario.

    SLA Object CreationCreación de objetos SLA

    Paso 9.

    Una vez creado el objeto, la ruta estática de las interfaces debe crearlo. Vaya al panel principal seleccionando el botón Device.

    SLA Monitor CreatedMonitor de SLA creado

    Paso 10.

    Navegue hasta la Sección de ruteo seleccionando Ver configuración en el Panel de ruteo.

    Main DashboardPanel principal

    Paso 11.

    En la ficha Static Routing (Enrutamiento estático), cree las dos rutas estáticas predeterminadas para ambos ISP. Para crear una nueva ruta estática, seleccione el botón CREATE STATIC ROUTE.

    Static Routing SectionSección de Ruteo Estático

    Paso 12.

    Primero, cree la ruta estática para el ISP primario. Al final, agregue el objeto de monitoreo SLA que se creó en el último paso.

    Static Route For Primary ISPRuta estática para ISP principal

    Paso 13.

    Repita el último paso y cree una ruta predeterminada, para el ISP secundario con el gateway adecuado y una métrica diferente. En este ejemplo, se aumentó a 200.

    Static Route For Secondary ISPRuta estática para ISP secundario

    Paso 14.

    Una vez creadas ambas rutas estáticas, debe crearse una zona de seguridad. Navegue hasta la sección Objetos seleccionando el botón Objetos en la parte superior.

    Static Routes CreatedRutas estáticas creadas

    Paso 15.

    Navegue hasta la sección Zonas de seguridad seleccionando en la columna izquierda el botón Zonas de seguridad, y luego cree una nueva zona seleccionando el botón CREATE SECURITY ZONE.

    Security Zones SectionSección Zonas de Seguridad

    Paso 16.

    Cree la Zona de seguridad externa con las dos interfaces externas para las conexiones de los ISP.

    Security Zone OutsideZona de seguridad externa

    Paso 17.

    Una vez creada la zona de seguridad, debe crearse una NAT. Vaya a la sección Políticas seleccionando el botón Políticas en la parte superior.

    Security Zones CreatedZonas de seguridad creadas

    Paso 18.

    Navegue hasta la sección NAT seleccionando el botón NAT, y luego cree una nueva regla seleccionando el botón CREATE NAT RULE.

    NAT SectionSección NAT

    Paso 19.

    Para la conmutación por fallas del ISP, la configuración debe tener 2 rutas a través de interfaces externas. En primer lugar, para la conexión de la interfaz externa principal al ISP principal.

    NAT For Primary ISPNAT para ISP principal

    Paso 20.

    Ahora, una segunda NAT para la conexión del ISP secundario.

    Nota: No se puede utilizar la misma red para la dirección original. En este ejemplo, para el ISP secundario, la dirección original es el objeto any-ipv4.

    NAT For Secondary ISPNAT para ISP secundario

    Paso 21.

    Después de crear ambas reglas NAT, se debe establecer una regla de control de acceso para permitir el tráfico saliente. Seleccione el botón Control de acceso.

    NAT Rules CreatedReglas NAT creadas

    Paso 22.

    Para crear la regla de control de acceso, seleccione el botón CREATE ACCESS RULE.

    Access Control SectionSección de control de acceso

    Paso 23.

    Seleccione las zonas y redes deseadas.

    Access Control RuleRegla de control de acceso

    Paso 24.

    Una vez creada la regla de control de acceso, continúe con la implementación de todos los cambios seleccionando el botón Deploy en la parte superior.

    Access Control Rule CreatedRegla de control de acceso creada

    Paso 25.

    Verifique los cambios y, a continuación, seleccione el botón Deploy Now.

    Deployment VerificationVerificación de implementación

    Diagrama de la red

    Network DiagramDiagrama de la red

    Verificación

    > system support diagnostic-cli 
Attaching to Diagnostic CLI ... Press 'Ctrl+a then d' to detach.
Type help or '?' for a list of available commands.

    SF3130# show ip
    System IP Addresses:
    Interface   Name            IP address  Subnet mask   Method 
    Ethernet1/1 outside_primary 172.16.1.1  255.255.255.0 manual ------------> THE PRIMARY INTERFACE OF THE ISP IS SET
    Ethernet1/2 outside_backup  172.16.2.1  255.255.255.0 manual ------------> THE SECONDARY INTERFACE OF THE ISP IS SET
    Ethernet1/3 inside          192.168.1.1 255.255.255.0 manual

    SF3130# show interface ip brief 
    Interface   IP-Address  OK? Method Status Protocol
    Ethernet1/1 172.16.1.1  YES manual   up      up -------------------> THE INTERFACE IS UP AND RUNNING
    Ethernet1/2 172.16.2.1  YES manual   up      up -------------------> THE INTERFACE IS UP AND RUNNING 
    Ethernet1/3 192.168.1.1 YES manual   up      up

    SF3130# show route
    Gateway of last resort is 172.16.1.254 to network 0.0.0.0

    S* 0.0.0.0 0.0.0.0 [1/0] via 172.16.1.254, outside_primary ----> THE DEFAULT ROUTE IS CONNECTED THROUGH THE PRIMARY ISP
    C  172.16.1.0  255.255.255.0   is directly connected, outside_primary
    L  172.16.1.1  255.255.255.255 is directly connected, outside_primary
    C  172.16.2.0  255.255.255.0   is directly connected, outside_backup
    L  172.16.2.1  255.255.255.255 is directly connected, outside_backup
    C  192.168.1.0 255.255.255.0   is directly connected, inside
    L  192.168.1.1 255.255.255.255 is directly connected, inside

    SF3130# show run route
    route outside_primary 0.0.0.0 0.0.0.0 172.16.1.254 1 track 1
    route outside_backup  0.0.0.0 0.0.0.0 172.16.2.254 200

    SF3130# show sla monitor configuration ---> CHECKING THE SLA MONITOR CONFIGURATION
    SA Agent, Infrastructure Engine-II
    Entry number: 539523651
    Owner: 
    Tag: 
    Type of operation to perform: echo
    Target address: 172.16.1.254
    Interface: outside_primary
    Number of packets: 1
    Request size (ARR data portion): 28
    Operation timeout (milliseconds): 3000
    Type Of Service parameters: 0x0
    Verify data: No
    Operation frequency (seconds): 3
    Next Scheduled Start Time: Start Time already passed
    Group Scheduled : FALSE
    Life (seconds): Forever
    Entry Ageout (seconds): never
    Recurring (Starting Everyday): FALSE
    Status of entry (SNMP RowStatus): Active
    Enhanced History:

    SF3130# show sla monitor operational-state 
    Entry number: 739848060
    Modification time: 01:24:11.029 UTC Thu Jun 12 2025
    Number of Octets Used by this Entry: 1840
    Number of operations attempted: 0
    Number of operations skipped: 0
    Current seconds left in Life: Forever
    Operational state of entry: Pending
    Last time this entry was reset: Never
    Connection loss occurred: FALSE
    Timeout occurred: FALSE ----------------------------> THE ISP PRIMARY IS IN A HEALTHY STATE
    Over thresholds occurred: FALSE
    Latest RTT (milliseconds) : Unknown
    Latest operation return code: Unknown
    Latest operation start time: Unknown

    AFTERARGBSETHBNDGFSHNDFGSDBFB

    SF3130# show interface ip brief 
    Interface   IP-Address  OK? Method Status Protocol
    Ethernet1/1 172.16.1.1  YES manual  down   down -------------------> THE PRIMARY ISP IS DOWN
    Ethernet1/2 172.16.2.1  YES manual   up     up 
    Ethernet1/3 192.168.1.1 YES manual   up     up 

    SF3130# show route
    Gateway of last resort is 172.16.2.254 to network 0.0.0.0

    S* 0.0.0.0 0.0.0.0 [200/0] via 172.16.2.254, outside_backup ---------> AFTER THE ISP PRIMARY FAILS, INSTANTLY THE ISP BACKUP IS FAILOVER AND IS INSTALL IN THE ROUTING TABLE
    C  172.16.2.0 255.255.255.0    is directly connected, outside_backup
    L  172.16.2.1 255.255.255.255  is directly connected, outside_backup
    C  192.168.1.0 255.255.255.0   is directly connected, inside
    L  192.168.1.1 255.255.255.255 is directly connected, inside

    SF3130# show sla monitor operational-state
    Entry number: 739848060
    Modification time: 01:24:11.140 UTC Thu Jun 12 2025
    Number of Octets Used by this Entry: 1840
    Number of operations attempted: 0
    Number of operations skipped: 0
    Current seconds left in Life: Forever
    Operational state of entry: Pending
    Last time this entry was reset: Never
    Connection loss occurred: FALSE
    Timeout occurred: TRUE -------------------------------------> AFTER THE DOWNTIME OF THE PRIMARY ISP THE TIMEOUT IS FLAGGED
    Over thresholds occurred: FALSE
    Latest RTT (milliseconds) : Unknown
    Latest operation return code: Unknown
    Latest operation start time: Unknown

    SF3130# show route 
    Gateway of last resort is 172.16.1.254 to network 0.0.0.0

    S* 0.0.0.0 0.0.0.0 [1/0] via 172.16.1.254, outside_primary ------------> AFTER A FEW SECONDS ONCE THE PRIMARY INTERFACE IS BACK THE DEFAULT ROUTE INSTALLS AGAIN IN THE ROUTING TABLE
    C 172.16.1.0 255.255.255.0    is directly connected, outside_primary
    L 172.16.1.1 255.255.255.255  is directly connected, outside_primary
    C 172.16.2.0 255.255.255.0    is directly connected, outside_backup
    L 172.16.2.1 255.255.255.255  is directly connected, outside_backup
    C 192.168.1.0 255.255.255.0   is directly connected, inside
    L 192.168.1.1 255.255.255.255 is directly connected, inside

    Historial de revisiones

    Revisión Fecha de publicación Comentarios
    1.0
    20-Jun-2025
    Versión inicial
    TAC Authored

    Con la colaboración de ingenieros de Cisco

    • Eder Pacheco
      Ingeniero de consultoría técnica

    ¿Resultó útil este documento?

    FeedbackComentarios

    Contacte a Cisco

    Este documento se aplica a estos productos