Introduzione
In questo documento viene descritto come configurare il failover di due provider di servizi Internet (ISP) utilizzando Firewall Device Manager (FDM) per la serie Secure Firewall.
Prerequisiti
Requisiti
Cisco raccomanda la conoscenza dei seguenti argomenti:
Componenti usati
Le informazioni fornite in questo documento si basano sulle seguenti versioni software e hardware:
· Cisco Secure Firewall con versione 7.7.X o successive.
· Secure Firewall 3130 con versione 7.7.0.
Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.
Configurazione
Passaggio 1.
Accedere a FDM sul firewall protetto e passare alla sezione interfacce selezionando il pulsante Visualizza tutte le interfacce.
Dashboard principale di FDM
Passaggio 2.
Per configurare l'interfaccia per la connessione all'ISP principale, selezionare innanzitutto l'interfaccia desiderata. Selezionando il pulsante di interfaccia corrispondente per continuare. Nell'esempio, l'interfaccia utilizzata è Ethernet1/1.
scheda Interfacce
Passaggio 3.
Configurare l'interfaccia con i parametri corretti per la connessione all'ISP primario. Nell'esempio, l'interfaccia è outside_primary.
Configurazione dell'interfaccia ISP principale
Passaggio 4.
Ripetere la stessa procedura per l'interfaccia ISP secondaria. nell'esempio viene usata l'interfaccia Ethernet1/2.
Configurazione dell'interfaccia ISP secondaria
Passaggio 5.
Dopo aver configurato le due interfacce per gli ISP, il passaggio successivo consiste nell'impostare SLA Monitor per l'interfaccia primaria.
Passare alla sezione Oggetti selezionando il pulsante Oggetti nella parte superiore del menu.
Interfacce configurate
Passaggio 6.
Selezionare il pulsante SLA Monitors nella colonna sinistra.
schermata Oggetti
Passaggio 7.
Creare un nuovo SLA Monitor selezionando il pulsante Crea SLA Monitor.
Sezione Monitor SLA
Passaggio 8.
Configurare i parametri per la connessione all'ISP primario.
Creazione oggetto contratto di servizio
Passaggio 9.
Una volta creato l'oggetto, il percorso statico delle interfacce deve crearlo. Passare al dashboard principale selezionando il pulsante Dispositivo.
Monitoraggio SLA creato
Passaggio 10.
Passare alla sezione Ciclo selezionando Visualizza configurazione nel pannello Ciclo.
Dashboard principale
Passaggio 11.
Nella scheda Routing statico creare le due route statiche predefinite per entrambi gli ISP. Per creare una nuova stesura statica, selezionare il pulsante CREA STESURA STATICA.
Sezione Routing statico
Passaggio 12.
Creare innanzitutto la route statica per l'ISP primario. Al termine, aggiungere l'oggetto di monitoraggio SLA creato nell'ultimo passaggio.
Route statica per ISP primario
Passaggio 13.
Ripetere l'ultimo passaggio e creare un percorso predefinito, per il provider di servizi Internet secondario con il gateway corretto e una metrica diversa. Nell'esempio, è stato aumentato a 200.
Route statica per ISP secondario
Passaggio 14.
Dopo aver creato entrambe le route statiche, è necessario creare un'area di protezione. Passare alla sezione Oggetti selezionando il pulsante Oggetti nella parte superiore.
Route statiche create
Passaggio 15.
Passare alla sezione Aree di protezione selezionando il pulsante Aree di protezione nella colonna sinistra, quindi creare una nuova area selezionando il pulsante CREA AREA DI PROTEZIONE.
Sezione Aree di protezione
Passaggio 16.
Creare l'area di sicurezza esterna con entrambe le interfacce esterne per le connessioni degli ISP.
Area di sicurezza esterna
Passaggio 17.
Dopo la creazione dell'area di sicurezza, è necessario creare un NAT. Passare alla sezione Criteri selezionando il pulsante Criteri nella parte superiore.
Aree di protezione create
Passaggio 18.
Passare alla sezione NAT selezionando il pulsante NAT, quindi creare una nuova regola selezionando il pulsante CREA REGOLA NAT.
Sezione NAT
Passaggio 19.
Per il failover dell'ISP, la configurazione deve disporre di 2 route tramite interfacce esterne. Innanzitutto, per la connessione dell'interfaccia esterna primaria all'ISP primario.
NAT per ISP primario
Passaggio 20.
Ora, un secondo NAT per la connessione dell'ISP secondario.
Nota: Impossibile utilizzare la stessa rete per l'indirizzo originale. Nell'esempio, per l'ISP secondario, l'indirizzo originale è l'oggetto any-ipv4.
NAT per ISP secondario
Passaggio 21.
Dopo aver creato entrambe le regole NAT, è necessario stabilire una regola di controllo di accesso per consentire il traffico in uscita. Selezionare il pulsante Controllo accesso.
Regole NAT create
Passaggio 22.
Per creare la regola di controllo d'accesso, selezionare il pulsante CREA REGOLA D'ACCESSO.
Sezione controllo accesso
Passaggio 23.
Selezionare le zone e le reti desiderate.
Regola di controllo di accesso
Passaggio 24.
Una volta creata la regola di controllo d'accesso, procedere alla distribuzione di tutte le modifiche selezionando il pulsante Distribuisci nella parte superiore.
Regola di controllo di accesso creata
Passaggio 25.
Verificare le modifiche, quindi selezionare il pulsante Distribuisci.
Verifica distribuzione
Esempio di rete
Esempio di rete
Verifica
> system support diagnostic-cli
Attaching to Diagnostic CLI ... Press 'Ctrl+a then d' to detach.
Type help or '?' for a list of available commands.
SF3130# show ip
System IP Addresses:
Interface Name IP address Subnet mask Method
Ethernet1/1 outside_primary 172.16.1.1 255.255.255.0 manual ------------> THE PRIMARY INTERFACE OF THE ISP IS SET
Ethernet1/2 outside_backup 172.16.2.1 255.255.255.0 manual ------------> THE SECONDARY INTERFACE OF THE ISP IS SET
Ethernet1/3 inside 192.168.1.1 255.255.255.0 manual
SF3130# show interface ip brief
Interface IP-Address OK? Method Status Protocol
Ethernet1/1 172.16.1.1 YES manual up up -------------------> THE INTERFACE IS UP AND RUNNING
Ethernet1/2 172.16.2.1 YES manual up up -------------------> THE INTERFACE IS UP AND RUNNING
Ethernet1/3 192.168.1.1 YES manual up up
SF3130# show route
Gateway of last resort is 172.16.1.254 to network 0.0.0.0
S* 0.0.0.0 0.0.0.0 [1/0] via 172.16.1.254, outside_primary ----> THE DEFAULT ROUTE IS CONNECTED THROUGH THE PRIMARY ISP
C 172.16.1.0 255.255.255.0 is directly connected, outside_primary
L 172.16.1.1 255.255.255.255 is directly connected, outside_primary
C 172.16.2.0 255.255.255.0 is directly connected, outside_backup
L 172.16.2.1 255.255.255.255 is directly connected, outside_backup
C 192.168.1.0 255.255.255.0 is directly connected, inside
L 192.168.1.1 255.255.255.255 is directly connected, inside
SF3130# show run route
route outside_primary 0.0.0.0 0.0.0.0 172.16.1.254 1 track 1
route outside_backup 0.0.0.0 0.0.0.0 172.16.2.254 200
SF3130# show sla monitor configuration ---> CHECKING THE SLA MONITOR CONFIGURATION
SA Agent, Infrastructure Engine-II
Entry number: 539523651
Owner:
Tag:
Type of operation to perform: echo
Target address: 172.16.1.254
Interface: outside_primary
Number of packets: 1
Request size (ARR data portion): 28
Operation timeout (milliseconds): 3000
Type Of Service parameters: 0x0
Verify data: No
Operation frequency (seconds): 3
Next Scheduled Start Time: Start Time already passed
Group Scheduled : FALSE
Life (seconds): Forever
Entry Ageout (seconds): never
Recurring (Starting Everyday): FALSE
Status of entry (SNMP RowStatus): Active
Enhanced History:
SF3130# show sla monitor operational-state
Entry number: 739848060
Modification time: 01:24:11.029 UTC Thu Jun 12 2025
Number of Octets Used by this Entry: 1840
Number of operations attempted: 0
Number of operations skipped: 0
Current seconds left in Life: Forever
Operational state of entry: Pending
Last time this entry was reset: Never
Connection loss occurred: FALSE
Timeout occurred: FALSE ----------------------------> THE ISP PRIMARY IS IN A HEALTHY STATE
Over thresholds occurred: FALSE
Latest RTT (milliseconds) : Unknown
Latest operation return code: Unknown
Latest operation start time: Unknown
AFTERARGBSETHBNDGFSHNDFGSDBFB
SF3130# show interface ip brief
Interface IP-Address OK? Method Status Protocol
Ethernet1/1 172.16.1.1 YES manual down down -------------------> THE PRIMARY ISP IS DOWN
Ethernet1/2 172.16.2.1 YES manual up up
Ethernet1/3 192.168.1.1 YES manual up up
SF3130# show route
Gateway of last resort is 172.16.2.254 to network 0.0.0.0
S* 0.0.0.0 0.0.0.0 [200/0] via 172.16.2.254, outside_backup ---------> AFTER THE ISP PRIMARY FAILS, INSTANTLY THE ISP BACKUP IS FAILOVER AND IS INSTALL IN THE ROUTING TABLE
C 172.16.2.0 255.255.255.0 is directly connected, outside_backup
L 172.16.2.1 255.255.255.255 is directly connected, outside_backup
C 192.168.1.0 255.255.255.0 is directly connected, inside
L 192.168.1.1 255.255.255.255 is directly connected, inside
SF3130# show sla monitor operational-state
Entry number: 739848060
Modification time: 01:24:11.140 UTC Thu Jun 12 2025
Number of Octets Used by this Entry: 1840
Number of operations attempted: 0
Number of operations skipped: 0
Current seconds left in Life: Forever
Operational state of entry: Pending
Last time this entry was reset: Never
Connection loss occurred: FALSE
Timeout occurred: TRUE -------------------------------------> AFTER THE DOWNTIME OF THE PRIMARY ISP THE TIMEOUT IS FLAGGED
Over thresholds occurred: FALSE
Latest RTT (milliseconds) : Unknown
Latest operation return code: Unknown
Latest operation start time: Unknown
SF3130# show route
Gateway of last resort is 172.16.1.254 to network 0.0.0.0
S* 0.0.0.0 0.0.0.0 [1/0] via 172.16.1.254, outside_primary ------------> AFTER A FEW SECONDS ONCE THE PRIMARY INTERFACE IS BACK THE DEFAULT ROUTE INSTALLS AGAIN IN THE ROUTING TABLE
C 172.16.1.0 255.255.255.0 is directly connected, outside_primary
L 172.16.1.1 255.255.255.255 is directly connected, outside_primary
C 172.16.2.0 255.255.255.0 is directly connected, outside_backup
L 172.16.2.1 255.255.255.255 is directly connected, outside_backup
C 192.168.1.0 255.255.255.0 is directly connected, inside
L 192.168.1.1 255.255.255.255 is directly connected, inside