Introdução
Este documento descreve como configurar o failover do Provedor de Serviços de Internet Duplo (ISP) usando o Gerenciador de Dispositivos de Firewall (FDM) para o Secure Firewall Series.
Pré-requisitos
Requisitos
A Cisco recomenda que você tenha conhecimento destes tópicos:
Componentes Utilizados
As informações neste documento são baseadas nestas versões de software e hardware:
· Cisco Secure Firewall executando a versão 7.7.X ou versões superiores.
· Secure Firewall 3130 com versão 7.7.0.
As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.
Configurar
Etapa 1.
Efetue login no FDM no Firewall Seguro e navegue até a seção interfaces selecionando o botão Exibir Todas as Interfaces.
Painel Principal do FDM
Etapa 2.
Para configurar a interface para a conexão principal do ISP, comece selecionando a interface desejada. Selecionando o botão de interface correspondente para continuar. Neste exemplo, a interface usada é Ethernet1/1.
Guia Interfaces
Etapa 3.
Configure a interface com os parâmetros corretos para sua conexão principal do ISP. Neste exemplo, a interface é outside_primary.
Configuração da interface primária do ISP
Etapa 4.
Repita o mesmo processo para a interface ISP secundária. Neste exemplo, a interface Ethernet1/2 é usada.
Configuração da interface secundária do ISP
Etapa 5.
Depois de configurar as duas interfaces para os ISPs, a próxima etapa é configurar o Monitor SLA para a interface primária.
Navegue até a seção Objetos selecionando o botão Objetos localizado na parte superior do menu.
Interfaces configuradas
Etapa 6.
Selecione na coluna esquerda o botão Monitores de SLA.
Tela de Objetos
Passo 7.
Crie um novo Monitor de SLA selecionando o botão Criar Monitor de SLA.
Seção Monitor do SLA
Etapa 8.
Configure os parâmetros para a conexão do ISP Principal.
Criação de objeto de SLA
Etapa 9.
Depois que o objeto for criado, a rota estática para as interfaces deverá criá-lo. Navegue até o painel principal selecionando o botão Device.
Monitor do SLA criado
Etapa 10.
Navegue até a Seção de roteamento selecionando a Configuração de exibição no Painel de roteamento.
Painel principal
Etapa 11.
Na guia Static Routing (Roteamento estático), crie as 2 rotas estáticas padrão para ambos os ISPs. Para criar uma nova rota estática, selecione o botão CREATE STATIC ROUTE.
Seção de roteamento estático
Etapa 12.
Primeiro, crie a rota estática para o ISP primário. No final, adicione o objeto de monitor de SLA que foi criado na última etapa.
Rota estática para ISP primário
Etapa 13.
Repita a última etapa e crie uma rota padrão, para o ISP secundário com o gateway apropriado e uma Métrica diferente. Neste exemplo, ele foi aumentado para 200.
Rota estática para ISP secundário
Etapa 14.
Depois que as duas rotas estáticas forem criadas, uma zona de segurança deverá ser criada. Navegue até a seção Objetos selecionando o botão Objetos na parte superior.
Rotas estáticas criadas
Etapa 15.
Navegue até a seção Zonas de segurança selecionando na coluna esquerda o botão Zonas de segurança e crie uma nova zona selecionando o botão CRIAR ZONA DE SEGURANÇA.
Seção Zonas de Segurança
Etapa 16.
Crie a Outside Security Zone com as duas interfaces externas para as conexões dos ISPs.
Zona de Segurança Externa
Etapa 17.
Depois que a zona de segurança for criada, um NAT deverá ser criado. Navegue até a seção Policies selecionando o botão Policies na parte superior.
Zonas de segurança criadas
Etapa 18.
Navegue até a seção NAT selecionando o botão NAT e crie uma nova regra selecionando o botão CREATE NAT RULE.
Seção NAT
Etapa 19.
Para o failover do ISP, a configuração deve ter 2 rotas através de interfaces externas. Primeiro, para a conexão da interface externa primária com o ISP primário.
NAT para ISP primário
Etapa 20.
Agora, um segundo NAT para a conexão do ISP secundário.
Note: Para o endereço original, a mesma rede não pode ser usada. Neste exemplo, para o ISP secundário, o Endereço original é o objeto any-ipv4.
NAT para ISP secundário
Etapa 21.
Depois de criar as duas regras de NAT, uma Regra de controle de acesso deve ser estabelecida para permitir o tráfego de saída. Selecione o botão Controle de acesso.
Regras NAT criadas
Etapa 22.
Para criar a Regra de Controle de Acesso, selecione o botão CRIAR REGRA DE ACESSO.
Seção de Controle de Acesso
Etapa 23.
Selecione as zonas e redes desejadas.
Regra de controle de acesso
Etapa 24.
Depois que a Regra de controle de acesso for criada, continue para implantar todas as alterações selecionando o botão Implantar na parte superior.
Regra de Controle de Acesso Criada
Etapa 25.
Verifique as alterações e selecione o botão Implantar agora.
Verificação de Implantação
Diagrama de Rede
Diagrama de Rede
Verificar
> system support diagnostic-cli
Attaching to Diagnostic CLI ... Press 'Ctrl+a then d' to detach.
Type help or '?' for a list of available commands.
SF3130# show ip
System IP Addresses:
Interface Name IP address Subnet mask Method
Ethernet1/1 outside_primary 172.16.1.1 255.255.255.0 manual ------------> THE PRIMARY INTERFACE OF THE ISP IS SET
Ethernet1/2 outside_backup 172.16.2.1 255.255.255.0 manual ------------> THE SECONDARY INTERFACE OF THE ISP IS SET
Ethernet1/3 inside 192.168.1.1 255.255.255.0 manual
SF3130# show interface ip brief
Interface IP-Address OK? Method Status Protocol
Ethernet1/1 172.16.1.1 YES manual up up -------------------> THE INTERFACE IS UP AND RUNNING
Ethernet1/2 172.16.2.1 YES manual up up -------------------> THE INTERFACE IS UP AND RUNNING
Ethernet1/3 192.168.1.1 YES manual up up
SF3130# show route
Gateway of last resort is 172.16.1.254 to network 0.0.0.0
S* 0.0.0.0 0.0.0.0 [1/0] via 172.16.1.254, outside_primary ----> THE DEFAULT ROUTE IS CONNECTED THROUGH THE PRIMARY ISP
C 172.16.1.0 255.255.255.0 is directly connected, outside_primary
L 172.16.1.1 255.255.255.255 is directly connected, outside_primary
C 172.16.2.0 255.255.255.0 is directly connected, outside_backup
L 172.16.2.1 255.255.255.255 is directly connected, outside_backup
C 192.168.1.0 255.255.255.0 is directly connected, inside
L 192.168.1.1 255.255.255.255 is directly connected, inside
SF3130# show run route
route outside_primary 0.0.0.0 0.0.0.0 172.16.1.254 1 track 1
route outside_backup 0.0.0.0 0.0.0.0 172.16.2.254 200
SF3130# show sla monitor configuration ---> CHECKING THE SLA MONITOR CONFIGURATION
SA Agent, Infrastructure Engine-II
Entry number: 539523651
Owner:
Tag:
Type of operation to perform: echo
Target address: 172.16.1.254
Interface: outside_primary
Number of packets: 1
Request size (ARR data portion): 28
Operation timeout (milliseconds): 3000
Type Of Service parameters: 0x0
Verify data: No
Operation frequency (seconds): 3
Next Scheduled Start Time: Start Time already passed
Group Scheduled : FALSE
Life (seconds): Forever
Entry Ageout (seconds): never
Recurring (Starting Everyday): FALSE
Status of entry (SNMP RowStatus): Active
Enhanced History:
SF3130# show sla monitor operational-state
Entry number: 739848060
Modification time: 01:24:11.029 UTC Thu Jun 12 2025
Number of Octets Used by this Entry: 1840
Number of operations attempted: 0
Number of operations skipped: 0
Current seconds left in Life: Forever
Operational state of entry: Pending
Last time this entry was reset: Never
Connection loss occurred: FALSE
Timeout occurred: FALSE ----------------------------> THE ISP PRIMARY IS IN A HEALTHY STATE
Over thresholds occurred: FALSE
Latest RTT (milliseconds) : Unknown
Latest operation return code: Unknown
Latest operation start time: Unknown
AFTERARGBSETHBNDGFSHNDFGSDBFB
SF3130# show interface ip brief
Interface IP-Address OK? Method Status Protocol
Ethernet1/1 172.16.1.1 YES manual down down -------------------> THE PRIMARY ISP IS DOWN
Ethernet1/2 172.16.2.1 YES manual up up
Ethernet1/3 192.168.1.1 YES manual up up
SF3130# show route
Gateway of last resort is 172.16.2.254 to network 0.0.0.0
S* 0.0.0.0 0.0.0.0 [200/0] via 172.16.2.254, outside_backup ---------> AFTER THE ISP PRIMARY FAILS, INSTANTLY THE ISP BACKUP IS FAILOVER AND IS INSTALL IN THE ROUTING TABLE
C 172.16.2.0 255.255.255.0 is directly connected, outside_backup
L 172.16.2.1 255.255.255.255 is directly connected, outside_backup
C 192.168.1.0 255.255.255.0 is directly connected, inside
L 192.168.1.1 255.255.255.255 is directly connected, inside
SF3130# show sla monitor operational-state
Entry number: 739848060
Modification time: 01:24:11.140 UTC Thu Jun 12 2025
Number of Octets Used by this Entry: 1840
Number of operations attempted: 0
Number of operations skipped: 0
Current seconds left in Life: Forever
Operational state of entry: Pending
Last time this entry was reset: Never
Connection loss occurred: FALSE
Timeout occurred: TRUE -------------------------------------> AFTER THE DOWNTIME OF THE PRIMARY ISP THE TIMEOUT IS FLAGGED
Over thresholds occurred: FALSE
Latest RTT (milliseconds) : Unknown
Latest operation return code: Unknown
Latest operation start time: Unknown
SF3130# show route
Gateway of last resort is 172.16.1.254 to network 0.0.0.0
S* 0.0.0.0 0.0.0.0 [1/0] via 172.16.1.254, outside_primary ------------> AFTER A FEW SECONDS ONCE THE PRIMARY INTERFACE IS BACK THE DEFAULT ROUTE INSTALLS AGAIN IN THE ROUTING TABLE
C 172.16.1.0 255.255.255.0 is directly connected, outside_primary
L 172.16.1.1 255.255.255.255 is directly connected, outside_primary
C 172.16.2.0 255.255.255.0 is directly connected, outside_backup
L 172.16.2.1 255.255.255.255 is directly connected, outside_backup
C 192.168.1.0 255.255.255.0 is directly connected, inside
L 192.168.1.1 255.255.255.255 is directly connected, inside