Dual ISP Failover configureren voor FTD beheerd door FMC
Inleiding
In dit document wordt beschreven hoe DUAL ISP Failover met PBR- en IP-SLA's kan worden geconfigureerd op een FTD die door FMC wordt beheerd.
Voorwaarden
Vereisten
Cisco raadt kennis van de volgende onderwerpen aan:
- Op beleid gebaseerde routering (PBR)
- Internet Protocol Service Level Agreement (IP SLA)
- Firepower Management Center (FMC)
- Firepower Threat Defense (FTD)
Gebruikte componenten
De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:
- FMCv 7.3.0
- FTDv 7.3.0
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.
Achtergrondinformatie
Overzicht van statische trackingfuncties
Met de functie Static Route Tracking kan de FTD een verbinding met een secundaire ISP gebruiken in het geval dat de primaire huurlijn niet beschikbaar is. Om deze redundantie te bereiken, koppelt de FTD een statische route aan een monitoringdoel dat u definieert. De SSLA-operatie bewaakt het doel met periodieke ICMP-echoverzoeken.
Als een echoantwoord niet wordt ontvangen, wordt het object als omlaag beschouwd en wordt de bijbehorende route uit de routeringstabel verwijderd. Een eerder geconfigureerde back-uproute wordt gebruikt in plaats van de route die wordt verwijderd. Terwijl de back-uproute in gebruik is, gaat de SLA-monitorbewerking door met zijn pogingen om het monitoringdoel te bereiken.
Zodra het doel weer beschikbaar is, wordt de eerste route vervangen in de routeringstabel en wordt de back-uproute verwijderd.
U kunt nu meerdere next-hops en op beleid gebaseerde doorstuuracties tegelijkertijd configureren. Wanneer het verkeer overeenkomt met de criteria voor de route, probeert het systeem het verkeer door te sturen naar de IP-adressen in de volgorde die u opgeeft, totdat het lukt.
De functie is beschikbaar op FTD-apparaten met versie 7.1 en wordt later beheerd door een FMC-versie 7.3 en hoger.
Configureren
Netwerkdiagram
Deze afbeelding is een voorbeeld van een netwerkdiagram.
Afbeelding 1. Diagram voorbeeld.
ISP1 = 10 115 117,1
ISP2 = 172 20 20 13
Configuraties
Stap 1. Configureer de SLA Monitor-objecten.
Navigeer in de FMC naarObject > Object Management > SLA Monitor > Add SLA Monitoreen SLA Monitor-object voor de IP-adressen van de ISP en voeg dit toe.
SLA-monitor voor de primaire standaardgateway (ISP1).
Afbeelding 2. Configuratievenster van SLA1-monitor.
SLA-monitor voor de secundaire standaardgateway (ISP2).
Afbeelding 3. Configuratievenster van SLA2-monitor.
Stap 2. Configureer de statische routes met Route Track.
Navigeer in de FMC naarDevice > Device Management > Edit the desired FTD > Routing > Static Routesen voeg de statische routes toe met de juiste SLA-monitor.
De SLA-monitor moet degene zijn die de standaardgateway bewaakt.
Statische route voor de primaire standaardgateway:
Afbeelding 4. Statisch routeconfiguratievenster voor de Externe interface.
Statische route voor de secundaire standaardgateway.
Afbeelding 5. Venster voor statische routeconfiguratie voor de back-upinterface.
Stap 3. De basisroutes voor het beleid configureren.
Navigeer om de PBR toe te voegenDevice > Device Management > Edit the desired FTD > Routing > Policy Based Routing, en kies de ingangsinterface.
Afbeelding 6. PBR-configuratievenster.
Configureer de doorstuuracties.
- Kies of voeg een nieuwe toegangscontrolelijst toe die u wilt matchen.
- Kies
IP Addressuit deSend tooptie. - In dit voorbeeld is 10.115.117.234 het FTD buiten IP-adres.
Afbeelding 7. Configuratiescherm Acties doorsturen.
Scroll naar beneden en voeg de Verify Availability waarden voor ISP1 toe.
Afbeelding 8. Configuratiescherm Acties doorsturen.
Herhaal hetzelfde proces voor de back-upinterface. Zorg er echter voor dat u een ander object voor de toegangscontrolelijst gebruikt.
Afbeelding 9. Configuratiescherm Acties doorsturen
Herhaal hetzelfde proces voorVerify Availabilityde configuratie, maar nu voor ISP2.
Afbeelding 10.Beschikbaarheidsconfiguratie controleren.
Valideer uw configuratie.
Afbeelding 11. PBR-configuratie.
Verifiëren
Open de FTD via Secure Shell (SSH) en gebruik de opdrachtsystem support disagnotsic-clien voer de volgende opdrachten uit:
-
show route-map: Met deze opdracht wordt de routekaartconfiguratie weergegeven.
firepower# show route-map
route-map FMC_GENERATED_PBR_1679065711925, permit, sequence 5
Match clauses:
ip address (access-lists): internal_networks
Set clauses:
ip next-hop verify-availability 10.115.117.1 1 track 1 [up]
ip next-hop 10.115.117.234
route-map FMC_GENERATED_PBR_1679065711925, permit, sequence 10
Match clauses:
ip address (access-lists): all_ipv4_for_pbr
Set clauses:
ip next-hop verify-availability 172.20.20.13 2 track 2 [up]
ip next-hop 172.20.20.77
firepower#
show running-config sla monitor: Met deze opdracht wordt de SLA-configuratie weergegeven.
firepower# show running-config sla monitor
sla monitor 1
type echo protocol ipIcmpEcho 10.115.117.1 interface outside
sla monitor schedule 1 life forever start-time now
sla monitor 2
type echo protocol ipIcmpEcho 172.20.20.13 interface backup
sla monitor schedule 2 life forever start-time now
firepower# show sla monitor configuration: Met deze opdracht worden de SLA-configuratiewaarden weergegeven.
firepower# show sla monitor configuration
SA Agent, Infrastructure Engine-II
Entry number: 1
Owner:
Tag:
Type of operation to perform: echo
Target address: 10.115.117.1
Interface: outside
Number of packets: 1
Request size (ARR data portion): 28
Operation timeout (milliseconds): 5000
Type Of Service parameters: 0x0
Verify data: No
Operation frequency (seconds): 60
Next Scheduled Start Time: Start Time already passed
Group Scheduled : FALSE
Life (seconds): Forever
Entry Ageout (seconds): never
Recurring (Starting Everyday): FALSE
Status of entry (SNMP RowStatus): Active
Enhanced History:
Entry number: 2
Owner:
Tag:
Type of operation to perform: echo
Target address: 172.20.20.13
Interface: backup
Number of packets: 1
Request size (ARR data portion): 28
Operation timeout (milliseconds): 5000
Type Of Service parameters: 0x0
Verify data: No
Operation frequency (seconds): 60
Next Scheduled Start Time: Start Time already passed
Group Scheduled : FALSE
Life (seconds): Forever
Entry Ageout (seconds): never
Recurring (Starting Everyday): FALSE
Status of entry (SNMP RowStatus): Active
Enhanced History:
show sla monitor operational-state: Deze opdracht geeft de operationele status van de SLA-bewerking weer.
firepower# show sla monitor operational-state
Entry number: 1
Modification time: 15:48:04.332 UTC Fri Mar 17 2023
Number of Octets Used by this Entry: 2056
Number of operations attempted: 74
Number of operations skipped: 0
Current seconds left in Life: Forever
Operational state of entry: Active
Last time this entry was reset: Never
Connection loss occurred: FALSE
Timeout occurred: FALSE
Over thresholds occurred: FALSE
Latest RTT (milliseconds): 1
Latest operation start time: 17:01:04.334 UTC Fri Mar 17 2023
Latest operation return code: OK
RTT Values:
RTTAvg: 1 RTTMin: 1 RTTMax: 1
NumOfRTT: 1 RTTSum: 1 RTTSum2: 1
Entry number: 2
Modification time: 15:48:04.335 UTC Fri Mar 17 2023
Number of Octets Used by this Entry: 2056
Number of operations attempted: 74
Number of operations skipped: 0
Current seconds left in Life: Forever
Operational state of entry: Active
Last time this entry was reset: Never
Connection loss occurred: FALSE
Timeout occurred: FALSE
Over thresholds occurred: FALSE
Latest RTT (milliseconds): 1
Latest operation start time: 17:01:04.337 UTC Fri Mar 17 2023
Latest operation return code: OK
RTT Values:
RTTAvg: 1 RTTMin: 1 RTTMax: 1
NumOfRTT: 1 RTTSum: 1 RTTSum2: 1
show track: Met deze opdracht wordt informatie weergegeven over objecten die worden bijgehouden door het SLA Track-proces.
firepower# show track
Track 1
Response Time Reporter 1 reachability
Reachability is Up
4 changes, last change 00:53:42
Latest operation return code: OK
Latest RTT (millisecs) 1
Tracked by:
ROUTE-MAP 0
STATIC-IP-ROUTING 0
Track 2
Response Time Reporter 2 reachability
Reachability is Up
2 changes, last change 01:13:41
Latest operation return code: OK
Latest RTT (millisecs) 1
Tracked by:
ROUTE-MAP 0
STATIC-IP-ROUTING 0
show running-config route: Met deze opdracht wordt de huidige routeconfiguratie weergegeven.
firepower# show running-config route
route outside 0.0.0.0 0.0.0.0 10.115.117.1 1 track 1
route backup 0.0.0.0 0.0.0.0 172.20.20.13 254 track 2
route vlan2816 10.42.0.37 255.255.255.255 10.43.0.1 254
firepower#
show route: Met deze opdracht wordt de routeringstabel voor de gegevensinterfaces weergegeven.
firepower# show route
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2, V - VPN
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
o - ODR, P - periodic downloaded static route, + - replicated route
SI - Static InterVRF, BI - BGP InterVRF
Gateway of last resort is 10.115.117.1 to network 0.0.0.0
S* 0.0.0.0 0.0.0.0 [1/0] via 10.115.117.1, outside
S 10.0.0.0 255.0.0.0 [1/0] via 10.88.243.1, backbone
C 10.88.243.0 255.255.255.0 is directly connected, backbone
L 10.88.243.67 255.255.255.255 is directly connected, backbone
C 10.115.117.0 255.255.255.0 is directly connected, outside
L 10.115.117.234 255.255.255.255 is directly connected, outside
C 10.42.0.0 255.255.255.0 is directly connected, vlan2816
L 10.42.0.1 255.255.255.255 is directly connected, vlan2816
S 10.42.0.37 255.255.255.255 [254/0] via 10.43.0.1, vlan2816
C 172.20.20.0 255.255.255.0 is directly connected, backup
L 172.20.20.77 255.255.255.255 is directly connected, backup
Wanneer de primaire link mislukt:
show route-map: Met deze opdracht wordt de routekaartconfiguratie weergegeven wanneer een koppeling mislukt.
firepower# show route-map FMC_GENERATED_PBR_1679065711925
route-map FMC_GENERATED_PBR_1679065711925, permit, sequence 5
Match clauses:
ip address (access-lists): internal_networks
Set clauses:
ip next-hop verify-availability 10.115.117.1 1 track 1 [down]
ip next-hop 10.115.117.234
route-map FMC_GENERATED_PBR_1679065711925, permit, sequence 10
Match clauses:
ip address (access-lists): all_ipv4_for_pbr
Set clauses:
ip next-hop verify-availability 172.20.20.13 2 track 2 [up]
ip next-hop 172.20.20.77
firepower#
show route: Met deze opdracht wordt de nieuwe routeringstabel per interface weergegeven.
firepower# show route
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2, V - VPN
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
o - ODR, P - periodic downloaded static route, + - replicated route
SI - Static InterVRF, BI - BGP InterVRF
Gateway of last resort is 10.115.117.1 to network 0.0.0.0
S* 0.0.0.0 0.0.0.0 [1/0] via 172.20.20.13, backup
S 10.0.0.0 255.0.0.0 [1/0] via 10.88.243.1, backbone
C 10.88.243.0 255.255.255.0 is directly connected, backbone
L 10.88.243.67 255.255.255.255 is directly connected, backbone
C 10.115.117.0 255.255.255.0 is directly connected, outside
L 10.115.117.234 255.255.255.255 is directly connected, outside
C 10.42.0.0 255.255.255.0 is directly connected, vlan2816
L 10.42.0.1 255.255.255.255 is directly connected, vlan2816
S 10.42.0.37 255.255.255.255 [254/0] via 10.43.0.1, vlan2816
C 172.20.20.0 255.255.255.0 is directly connected, backup
L 172.20.20.77 255.255.255.255 is directly connected, backup
Gerelateerde informatie
Revisiegeschiedenis
| Revisie | Publicatiedatum | Opmerkingen |
|---|---|---|
3.0 |
16-May-2024
|
Eerste vrijgave |
1.0 |
26-Jul-2023
|
Eerste vrijgave |
FeedbackContact Cisco
- Een ondersteuningscase openen
- (Vereist een Cisco-servicecontract)