Configurazione di un doppio ISP su FTD con FDM

Opzioni per il download

  • PDF     (1.8 MB)
    Visualizza con Adobe Reader su diversi dispositivi
Aggiornato:17 giugno 2025
ID documento:223114

Linguaggio senza pregiudizi

La documentazione per questo prodotto è stata redatta cercando di utilizzare un linguaggio senza pregiudizi. Ai fini di questa documentazione, per linguaggio senza di pregiudizi si intende un linguaggio che non implica discriminazioni basate su età, disabilità, genere, identità razziale, identità etnica, orientamento sessuale, status socioeconomico e intersezionalità. Le eventuali eccezioni possono dipendere dal linguaggio codificato nelle interfacce utente del software del prodotto, dal linguaggio utilizzato nella documentazione RFP o dal linguaggio utilizzato in prodotti di terze parti a cui si fa riferimento. Scopri di più sul modo in cui Cisco utilizza il linguaggio inclusivo.

Informazioni su questa traduzione

Cisco ha tradotto questo documento utilizzando una combinazione di tecnologie automatiche e umane per offrire ai nostri utenti in tutto il mondo contenuti di supporto nella propria lingua. Si noti che anche la migliore traduzione automatica non sarà mai accurata come quella fornita da un traduttore professionista. Cisco Systems, Inc. non si assume alcuna responsabilità per l’accuratezza di queste traduzioni e consiglia di consultare sempre il documento originale in inglese (disponibile al link fornito).

    Introduzione

    In questo documento viene descritto come configurare il failover di due provider di servizi Internet (ISP) utilizzando Firewall Device Manager (FDM) per la serie Secure Firewall.

    Prerequisiti

    Requisiti

    Cisco raccomanda la conoscenza dei seguenti argomenti:

    • Routing di base
    • Conoscenze dashboard di Gestione dispositivi firewall

    • Almeno 2 provider di servizi Internet connessi al firewall protetto.

    Componenti usati

    Le informazioni fornite in questo documento si basano sulle seguenti versioni software e hardware:

    · Cisco Secure Firewall con versione 7.7.X o successive.

    · Secure Firewall 3130 con versione 7.7.0.

    Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.

    Configurazione

    Passaggio 1.

    Accedere a FDM sul firewall protetto e passare alla sezione interfacce selezionando il pulsante Visualizza tutte le interfacce.

    FDM Main DashboardDashboard principale di FDM

    Passaggio 2.

    Per configurare l'interfaccia per la connessione all'ISP principale, selezionare innanzitutto l'interfaccia desiderata. Selezionando il pulsante di interfaccia corrispondente per continuare. Nell'esempio, l'interfaccia utilizzata è Ethernet1/1.

    Interfaces Tabscheda Interfacce

    Passaggio 3.

    Configurare l'interfaccia con i parametri corretti per la connessione all'ISP primario. Nell'esempio, l'interfaccia è outside_primary.

    Configuration of Primary ISP interfaceConfigurazione dell'interfaccia ISP principale

    Passaggio 4.

    Ripetere la stessa procedura per l'interfaccia ISP secondaria. nell'esempio viene usata l'interfaccia Ethernet1/2.

    Configuration of Secondary ISP InterfaceConfigurazione dell'interfaccia ISP secondaria

    Passaggio 5.

    Dopo aver configurato le due interfacce per gli ISP, il passaggio successivo consiste nell'impostare SLA Monitor per l'interfaccia primaria.

    Passare alla sezione Oggetti selezionando il pulsante Oggetti nella parte superiore del menu.

    Configured InterfacesInterfacce configurate

    Passaggio 6.

    Selezionare il pulsante SLA Monitors nella colonna sinistra.

    Objects Screenschermata Oggetti

    Passaggio 7.

    Creare un nuovo SLA Monitor selezionando il pulsante Crea SLA Monitor.

    SLA Monitor SectionSezione Monitor SLA

    Passaggio 8.

    Configurare i parametri per la connessione all'ISP primario.

    SLA Object CreationCreazione oggetto contratto di servizio

    Passaggio 9.

    Una volta creato l'oggetto, il percorso statico delle interfacce deve crearlo. Passare al dashboard principale selezionando il pulsante Dispositivo.

    SLA Monitor CreatedMonitoraggio SLA creato

    Passaggio 10.

    Passare alla sezione Ciclo selezionando Visualizza configurazione nel pannello Ciclo.

    Main DashboardDashboard principale

    Passaggio 11.

    Nella scheda Routing statico creare le due route statiche predefinite per entrambi gli ISP. Per creare una nuova stesura statica, selezionare il pulsante CREA STESURA STATICA.

    Static Routing SectionSezione Routing statico

    Passaggio 12.

    Creare innanzitutto la route statica per l'ISP primario. Al termine, aggiungere l'oggetto di monitoraggio SLA creato nell'ultimo passaggio.

    Static Route For Primary ISPRoute statica per ISP primario

    Passaggio 13.

    Ripetere l'ultimo passaggio e creare un percorso predefinito, per il provider di servizi Internet secondario con il gateway corretto e una metrica diversa. Nell'esempio, è stato aumentato a 200.

    Static Route For Secondary ISPRoute statica per ISP secondario

    Passaggio 14.

    Dopo aver creato entrambe le route statiche, è necessario creare un'area di protezione. Passare alla sezione Oggetti selezionando il pulsante Oggetti nella parte superiore.

    Static Routes CreatedRoute statiche create

    Passaggio 15.

    Passare alla sezione Aree di protezione selezionando il pulsante Aree di protezione nella colonna sinistra, quindi creare una nuova area selezionando il pulsante CREA AREA DI PROTEZIONE.

    Security Zones SectionSezione Aree di protezione

    Passaggio 16.

    Creare l'area di sicurezza esterna con entrambe le interfacce esterne per le connessioni degli ISP.

    Security Zone OutsideArea di sicurezza esterna

    Passaggio 17.

    Dopo la creazione dell'area di sicurezza, è necessario creare un NAT. Passare alla sezione Criteri selezionando il pulsante Criteri nella parte superiore.

    Security Zones CreatedAree di protezione create

    Passaggio 18.

    Passare alla sezione NAT selezionando il pulsante NAT, quindi creare una nuova regola selezionando il pulsante CREA REGOLA NAT.

    NAT SectionSezione NAT

    Passaggio 19.

    Per il failover dell'ISP, la configurazione deve disporre di 2 route tramite interfacce esterne. Innanzitutto, per la connessione dell'interfaccia esterna primaria all'ISP primario.

    NAT For Primary ISPNAT per ISP primario

    Passaggio 20.

    Ora, un secondo NAT per la connessione dell'ISP secondario.

    Nota: Impossibile utilizzare la stessa rete per l'indirizzo originale. Nell'esempio, per l'ISP secondario, l'indirizzo originale è l'oggetto any-ipv4.

    NAT For Secondary ISPNAT per ISP secondario

    Passaggio 21.

    Dopo aver creato entrambe le regole NAT, è necessario stabilire una regola di controllo di accesso per consentire il traffico in uscita. Selezionare il pulsante Controllo accesso.

    NAT Rules CreatedRegole NAT create

    Passaggio 22.

    Per creare la regola di controllo d'accesso, selezionare il pulsante CREA REGOLA D'ACCESSO.

    Access Control SectionSezione controllo accesso

    Passaggio 23.

    Selezionare le zone e le reti desiderate.

    Access Control RuleRegola di controllo di accesso

    Passaggio 24.

    Una volta creata la regola di controllo d'accesso, procedere alla distribuzione di tutte le modifiche selezionando il pulsante Distribuisci nella parte superiore.

    Access Control Rule CreatedRegola di controllo di accesso creata

    Passaggio 25.

    Verificare le modifiche, quindi selezionare il pulsante Distribuisci.

    Deployment VerificationVerifica distribuzione

    Esempio di rete

    Network DiagramEsempio di rete

    Verifica

    > system support diagnostic-cli 
Attaching to Diagnostic CLI ... Press 'Ctrl+a then d' to detach.
Type help or '?' for a list of available commands.

    SF3130# show ip
    System IP Addresses:
    Interface   Name            IP address  Subnet mask   Method 
    Ethernet1/1 outside_primary 172.16.1.1  255.255.255.0 manual ------------> THE PRIMARY INTERFACE OF THE ISP IS SET
    Ethernet1/2 outside_backup  172.16.2.1  255.255.255.0 manual ------------> THE SECONDARY INTERFACE OF THE ISP IS SET
    Ethernet1/3 inside          192.168.1.1 255.255.255.0 manual

    SF3130# show interface ip brief 
    Interface   IP-Address  OK? Method Status Protocol
    Ethernet1/1 172.16.1.1  YES manual   up      up -------------------> THE INTERFACE IS UP AND RUNNING
    Ethernet1/2 172.16.2.1  YES manual   up      up -------------------> THE INTERFACE IS UP AND RUNNING 
    Ethernet1/3 192.168.1.1 YES manual   up      up

    SF3130# show route
    Gateway of last resort is 172.16.1.254 to network 0.0.0.0

    S* 0.0.0.0 0.0.0.0 [1/0] via 172.16.1.254, outside_primary ----> THE DEFAULT ROUTE IS CONNECTED THROUGH THE PRIMARY ISP
    C  172.16.1.0  255.255.255.0   is directly connected, outside_primary
    L  172.16.1.1  255.255.255.255 is directly connected, outside_primary
    C  172.16.2.0  255.255.255.0   is directly connected, outside_backup
    L  172.16.2.1  255.255.255.255 is directly connected, outside_backup
    C  192.168.1.0 255.255.255.0   is directly connected, inside
    L  192.168.1.1 255.255.255.255 is directly connected, inside

    SF3130# show run route
    route outside_primary 0.0.0.0 0.0.0.0 172.16.1.254 1 track 1
    route outside_backup  0.0.0.0 0.0.0.0 172.16.2.254 200

    SF3130# show sla monitor configuration ---> CHECKING THE SLA MONITOR CONFIGURATION
    SA Agent, Infrastructure Engine-II
    Entry number: 539523651
    Owner: 
    Tag: 
    Type of operation to perform: echo
    Target address: 172.16.1.254
    Interface: outside_primary
    Number of packets: 1
    Request size (ARR data portion): 28
    Operation timeout (milliseconds): 3000
    Type Of Service parameters: 0x0
    Verify data: No
    Operation frequency (seconds): 3
    Next Scheduled Start Time: Start Time already passed
    Group Scheduled : FALSE
    Life (seconds): Forever
    Entry Ageout (seconds): never
    Recurring (Starting Everyday): FALSE
    Status of entry (SNMP RowStatus): Active
    Enhanced History:

    SF3130# show sla monitor operational-state 
    Entry number: 739848060
    Modification time: 01:24:11.029 UTC Thu Jun 12 2025
    Number of Octets Used by this Entry: 1840
    Number of operations attempted: 0
    Number of operations skipped: 0
    Current seconds left in Life: Forever
    Operational state of entry: Pending
    Last time this entry was reset: Never
    Connection loss occurred: FALSE
    Timeout occurred: FALSE ----------------------------> THE ISP PRIMARY IS IN A HEALTHY STATE
    Over thresholds occurred: FALSE
    Latest RTT (milliseconds) : Unknown
    Latest operation return code: Unknown
    Latest operation start time: Unknown

    AFTERARGBSETHBNDGFSHNDFGSDBFB

    SF3130# show interface ip brief 
    Interface   IP-Address  OK? Method Status Protocol
    Ethernet1/1 172.16.1.1  YES manual  down   down -------------------> THE PRIMARY ISP IS DOWN
    Ethernet1/2 172.16.2.1  YES manual   up     up 
    Ethernet1/3 192.168.1.1 YES manual   up     up 

    SF3130# show route
    Gateway of last resort is 172.16.2.254 to network 0.0.0.0

    S* 0.0.0.0 0.0.0.0 [200/0] via 172.16.2.254, outside_backup ---------> AFTER THE ISP PRIMARY FAILS, INSTANTLY THE ISP BACKUP IS FAILOVER AND IS INSTALL IN THE ROUTING TABLE
    C  172.16.2.0 255.255.255.0    is directly connected, outside_backup
    L  172.16.2.1 255.255.255.255  is directly connected, outside_backup
    C  192.168.1.0 255.255.255.0   is directly connected, inside
    L  192.168.1.1 255.255.255.255 is directly connected, inside

    SF3130# show sla monitor operational-state
    Entry number: 739848060
    Modification time: 01:24:11.140 UTC Thu Jun 12 2025
    Number of Octets Used by this Entry: 1840
    Number of operations attempted: 0
    Number of operations skipped: 0
    Current seconds left in Life: Forever
    Operational state of entry: Pending
    Last time this entry was reset: Never
    Connection loss occurred: FALSE
    Timeout occurred: TRUE -------------------------------------> AFTER THE DOWNTIME OF THE PRIMARY ISP THE TIMEOUT IS FLAGGED
    Over thresholds occurred: FALSE
    Latest RTT (milliseconds) : Unknown
    Latest operation return code: Unknown
    Latest operation start time: Unknown

    SF3130# show route 
    Gateway of last resort is 172.16.1.254 to network 0.0.0.0

    S* 0.0.0.0 0.0.0.0 [1/0] via 172.16.1.254, outside_primary ------------> AFTER A FEW SECONDS ONCE THE PRIMARY INTERFACE IS BACK THE DEFAULT ROUTE INSTALLS AGAIN IN THE ROUTING TABLE
    C 172.16.1.0 255.255.255.0    is directly connected, outside_primary
    L 172.16.1.1 255.255.255.255  is directly connected, outside_primary
    C 172.16.2.0 255.255.255.0    is directly connected, outside_backup
    L 172.16.2.1 255.255.255.255  is directly connected, outside_backup
    C 192.168.1.0 255.255.255.0   is directly connected, inside
    L 192.168.1.1 255.255.255.255 is directly connected, inside

    Cronologia delle revisioni

    Revisione Data di pubblicazione Commenti
    1.0
    20-Jun-2025
    Versione iniziale
    TAC Authored

    Contributo dei tecnici Cisco

    • Eder Pacheco
      Tecnico di consulenza

    Questo documento ti è stato utile?

    FeedbackFeedback

    Contattaci

    Questo documento si applica a questi prodotti