이중 ISP 설정에서 기본 ISP 링크가 다시 온라인 상태가 된 후 ASA를 통한 UDP 트래픽 실패

소개

ASA(Adaptive Security Appliance)에 대상 서브넷당 이그레스 인터페이스가 2개 있고 대상에 대한 기본 경로가 일정 시간 동안 라우팅 테이블에서 제거된 경우 기본 경로가 라우팅 테이블에 다시 추가되면 UDP(User Datagram Protocol) 연결이 실패할 수 있습니다. TCP 연결도 문제의 영향을 받을 수 있지만 TCP가 패킷 손실을 감지하므로 이러한 연결은 엔드포인트에 의해 자동으로 해제되고 경로가 변경된 후 보다 최적의 경로를 사용하여 다시 구축됩니다.

이 문제는 라우팅 프로토콜이 사용되고 토폴로지 변경이 ASA의 라우팅 테이블 변경을 트리거하는 경우에도 나타날 수 있습니다.

시작하기 전에

요구 사항

이 문제가 발생하려면 ASA의 라우팅 테이블을 변경해야 합니다. 이는 이중화된 방식으로 또는 ASA가 IGP(OSPF, EIGRP, RIP)를 통해 경로를 학습하는 경우 듀얼 ISP 링크에서 공통적으로 사용됩니다.

이 문제는 기본 ISP 링크가 다시 온라인 상태로 돌아오거나, ASA에서 사용 중이던 덜 선호되는 경로가 선호되지 않는 낮은 메트릭 경로로 대체되는 재컨버전스를 볼 때 발생합니다. 그러면 기본 또는 기본 경로가 ASA의 라우팅 테이블에 다시 설치되면 UDP SIP 등록, GRE 등과 같은 장기 연결이 실패하는 것을 볼 수 있습니다.

사용되는 구성 요소

이 문서의 정보는 다음 하드웨어 및 소프트웨어 버전을 기반으로 합니다.

• 모든 Cisco ASA 5500 Series Adaptive Security Appliance

• ASA 버전 8.2(5), 8.3(2)12, 8.4(1)1, 8.5(1) 이상

표기 규칙

문서 규칙에 대한 자세한 내용은 Cisco 기술 팁 표기 규칙을 참조하십시오.

문제

라우팅 테이블 항목이 ASA의 라우팅 테이블에서 제거되고 목적지에 도달할 수 있는 인터페이스 밖의 경로가 없는 경우, 방화벽을 통해 구축된 외부 목적지와의 연결은 ASA에 의해 삭제됩니다. 이렇게 하면 대상에 대한 라우팅 항목이 있는 다른 인터페이스를 사용하여 연결을 다시 빌드할 수 있습니다.

그러나 더 구체적인 경로를 테이블에 다시 추가하면 새로운 더 구체적인 경로를 사용하도록 연결이 업데이트되지 않으며 덜 최적화된 인터페이스를 계속 사용합니다.

예를 들어, 방화벽에는 인터넷을 향하는 두 개의 인터페이스("외부" 및 "백업")가 있으며 ASA의 컨피그레이션에는 이러한 두 경로가 있다고 가정해 보겠습니다.

route outside 0.0.0.0 0.0.0.0 10.1.1.1 1 track 1
route backup 0.0.0.0 0.0.0.0 172.16.1.1 254

외부 인터페이스와 백업 인터페이스가 모두 "up"인 경우 방화벽을 통해 아웃바운드된 연결은 기본 메트릭이 1이므로 외부 인터페이스를 사용합니다. 외부 인터페이스를 종료한 경우(또는 경로를 추적하는 SLA 모니터링 기능에서 추적된 IP에 대한 연결 손실이 발생한 경우) 백업 인터페이스가 대상으로의 경로가 있는 유일한 인터페이스이므로 외부 인터페이스를 사용한 연결은 백업 인터페이스를 사용하여 해제되었다가 다시 작성됩니다.

외부 인터페이스가 다시 가동되거나 추적된 경로가 다시 선호하는 경로가 될 때 문제가 발생합니다. 라우팅 테이블은 원래 경로를 선호하도록 업데이트되지만, 기존 연결은 ASA에 계속 존재하고 백업 인터페이스를 통과하며 더 선호하는 메트릭을 사용하여 외부 인터페이스에서 삭제되고 재생성되지 않습니다. 백업 기본 경로가 ASA의 인터페이스별 라우팅 테이블에 여전히 존재하기 때문입니다. 연결이 삭제될 때까지 연결이 선호도가 낮은 경로의 인터페이스를 계속 사용합니다. UDP의 경우, 이는 불명확할 수 있다.

이러한 상황에서는 외부 SIP 등록 또는 기타 UDP 연결과 같은 장기 연결에 문제가 발생할 수 있습니다.

솔루션

이 특정 문제를 해결하기 위해 ASA에 새로운 기능이 추가되었으며, 이 기능을 통해 대상에 대한 더 선호되는 경로가 라우팅 테이블에 추가될 경우 연결이 해제되고 새 인터페이스에서 재구축됩니다. 이 기능을 활성화하려면(기본적으로 비활성화됨) 0이 아닌 시간 제한을 timeout floating-conn 명령으로 설정합니다. 이 시간 제한(HH:MM:SS로 지정)은 더 선호하는 경로가 라우팅 테이블에 다시 추가되면 ASA가 연결을 끊기 전에 기다리는 시간을 지정합니다.

이 기능은 기능을 활성화하는 CLI 예입니다. 이 CLI를 사용하는 경우, 목적지에 대한 더 선호도가 높은 다른 경로가 있는 기존 연결에서 패킷이 수신되면 1분 후에 연결이 해제됩니다(그리고 더 선호도가 높은 새 경로를 사용하여 재구축됨).

ASA# config terminal
ASA(config)# timeout floating-conn 0:01:00
ASA(config)# end
ASA# show run timeout
timeout conn 1:00:00 half-closed 0:10:00 udp 0:50:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:01:00 absolute
timeout tcp-proxy-reassembly 0:01:00
timeout xlate 0:01:00
timeout pat-xlate 0:00:30
timeout floating-conn 0:01:00
ASA#

이 기능은 이후 버전의 ASA 소프트웨어를 포함하여 버전 8.2(5), 8.3(2)12, 8.4(1)1 및 8.5(1)의 ASA 플랫폼에 추가됩니다.

이 기능을 구현하지 않는 ASA 코드 버전을 실행하는 경우, clear local-host <IP> 또는 clear-conn <IP>을 통해 더 나은 경로를 사용할 수 있음에도 불구하고 선호하지 않는 경로를 계속 사용하는 UDP 연결을 수동으로 플러시하는 것이 문제의 해결책입니다.

명령 참조는 이 새 기능을 timeout 섹션에 나열합니다.

관련 정보

• 기술 지원 및 문서 − Cisco Systems