Вступление 

Извечная проблема – как резервировать интернет канал через  несколько провайдеров? На форумах часто возникает вопрос вида: «есть два провайдера, как сделать бэкап канала через cisco?». Данная статья призвана найти ответ на вопросы данного типа.

Проблема статичных маршрутов состоит в том, что не существует механизмов, которые могут определять, активен ли маршрут или нет, на данный момент. Маршрут остаётся в таблице маршрутизации даже если шлюз по умолчанию стал недоступным. Статический маршрут удаляется только в том случае, если интерфейс, к которому был «привязан» данный маршрут, был удалён или отключен. Для решения данной проблемы используется механизм (функция с названием tracking), который определяет, что статичный маршрут использует неверный шлюз. Он (механизм) удаляет неверный статичный маршрут из таблицы маршрутизации и создаёт резервный маршрут, через который данные могут «продолжать свой путь» без каких-либо препятствий.

Вы можете скачать данную стать в формате PDF

В данном документе демонстрируется пример, который использует функцию tracking, статичной маршрутизации, на оборудовании Cisco PIX Security Appliance серии 500 или ASA серии 5500 Adaptive Security Appliance, для использования данными устройствами избыточности или резервирования Internet соединений. В данном примере, механизм статичных маршрутов с названием tracking, позволяет оборудованию категории Cisco security appliance использовать более дешёвое соединение  ко второму провайдеру Интернет (ISP) только в том случае, если основной провайдер не доступен.

Для достижения избыточности, оборудование класса Cisco security appliance ассоциирует статическую маршрутизацию с мониторингом, который Вы сами определяете. Согласно «соглашению об уровне обслуживания» (так называемым service level agreement (SLA)) устройства периодически выполняют мониторинг заданного Вами хоста, при помощи протокола periodic Internet Control Message Protocol (ICMP) – в народе называемых «эхом» (отклик от хоста). Если заданный хост не доступен, то соответствующий маршрут удаляется из таблицы маршрутизации. Вместо удалённого маршрута подставляется резервный маршрут. В то время как резервный маршрут используется для прохождения данных, механизм мониторинга SLA продолжает отслеживать, не возобновился ли канал по умолчанию. Если маршрут по умолчанию стал доступным, то таблица маршрутизации восстанавливается в исходное состояние и маршрутизация идёт через заданного по умолчанию провайдера. Резервный маршрут в этом процессе удаляется из таблицы маршрутизации.

Примечание: Конфигурация, описанная в данном примере, не может использоваться для распределения или балансировки нагрузки трафика. Она (конфигурация) может использоваться только для избыточности или резервирования каналов. Исходящий трафик использует основного провайдера ISP до тех пор, пока он доступен. Если основной провайдер ISP не доступен, то используется резервный провайдер ISP.

Требования

Вам необходимо определить резервный адрес ISP провайдера, который отвечает на запросы ICMP. Резервный адрес назначения может находиться в любой подсети, главное чтобы он был в диапазоне  адресного пространства выданного ISP. Резервный адрес может включать следующее:

• Адрес шлюза ISP провайдера
• Любой адрес резервного ISP провайдера (тот, который сможет маршрутизировать трафик от вас в большой и злой Интернет)
• Сервер в сторонней подсети , к примеру AAA сервер, который необходим железкам класса security appliance для коммуникации
• Доступный сетевой объект (к примеру, компьютер или ноутбук, который нельзя выключать в ночное или не рабочее время)

Используемые компоненты

Информация в данном документе основана на использовании ОС (операционной системой) и оборудования следующих версий:

• Cisco PIX Security Appliance 515E с ОС  7.2(1) или выше
• Cisco Adaptive Security Device Manager 5.2(1) или выше

Информация в данном документе была собрана посредством лабораторных работ в тестовой среде. Все устройства были с заводскими установками. Прежде чем использовать данные из этой статьи в рабочей сети убедитесь в том, что Вы осознаёте все действия. Все устройства использовались с заводскими установками с настройками по умолчанию. Не забудьте сделать резервную копию конфигураций.

Схожие продукты

Информацию из данной статьи Вы можете так же использовать с оборудованием Cisco ASA Security Appliance серии  5500 версии 7.2(1).

Примечание: Команда backup interface требуется для настройки  интерфейса на Cisco ASA 5505. Для дополнительной информации используйте ссылку резервный интерфейс.

Справочная информация

В данном примере, оборудование класса security appliance, использует несколько подключений к сети Internet. Первое соединение – это высокоскоростной доступ, который предоставляется маршрутизатором главного ISP. Второе соединение – это менее скоростной канал, к примеру DSL, который доступен через DSL резервного провайдера.

Примечание: Распределение нагрузки сетевого трафика не рассматривается в данной статье.

DSL соединение является активным до тех пора, пока основной провайдер (шлюз) доступен. Если шлюз основного провайдера становится недоступным, то Cisco security appliance изменяет таблицу маршрутизации для перенаправления трафика в DSL канал. Функция tracking, статичной маршрутизации, используется для резервирования канала.

Устройство security appliance настроенное на использование статичного маршрута перенаправляет весь Интернет трафик в главный канал основного провайдера ISP. Каждые 10 секунд SLA монитор проверяет доступность шлюза основного провайдера. Если SLA монитор обнаруживает, что шлюз основного провайдера стал недоступен, то из таблицы маршрутизации удаляется «не рабочий маршрут» и добавляется маршрут резервного провайдера ISP. Резервный маршрут перенаправляет трафик (что логично) в резервный канал DSL, до тех пор, пока не восстановится основной канал ISP.

Данная конфигурация подразумевает то, что пользователи смогут получать доступ к сети Интернет, даже в том случае, если основной провайдер ISP недоступен. Так же данная конфигурация не предусматривает то, что входящий трафик при падении канала будет доступен. Для применения данных из этого материала необходимо обладать основами сетевой маршрутизации. Требуемые знания выходят за рамки данной статьи.

Конфигурация

В данной части статьи Вы познакомитесь с настройками для резервирования канала на Cisco PIX, Cisco ASA.

Примечание: IP адрес, используемый в данной статье не поддерживается для маршрутизации в Интернет (это пример). Данный адрес использован в лабораторных условиях, более подробно о данном ip адресе Вы можете почитать в  RFC 1918 .

Сетевая диаграмма

Информация в данном документе основана на следующей диаграмме:

Настройки

Проверка

Используйте данную секцию для проверки сделанных настроек.

Убедитесь в том, что конфигурация выполнена в соответствии со всеми рекомендациями.

Используйте команды  show для проверки.

• show running-config sla monitor— Отображает команды SLA в конфигурации.

·         pix# show running-config sla monitor

·         sla monitor 123

·          type echo protocol ipIcmpEcho 10.0.0.1 interface outside

·          num-packets 3

·          frequency 10

·         sla monitor schedule 123 life forever start-time now

• show sla monitor configuration — Отображает текущие настройки операций мониторинга.

·         pix# show sla monitor configuration 123

·         IP SLA Monitor, Infrastructure Engine-II.

·         Entry number: 123

·         Owner:

·         Tag:

·         Type of operation to perform: echo

·         Target address: 10.0.0.1

·         Interface: outside

·         Number of packets: 3

·         Request size (ARR data portion): 28

·         Operation timeout (milliseconds): 5000

·         Type Of Service parameters: 0x0

·         Verify data: No

·         Operation frequency (seconds): 10

·         Next Scheduled Start Time: Start Time already passed

·         Group Scheduled : FALSE

·         Life (seconds): Forever

·         Entry Ageout (seconds): never

·         Recurring (Starting Everyday): FALSE

·         Status of entry (SNMP RowStatus): Active

Enhanced History:

• show sla monitor operational-state— Отображает статистику операций SLA монитора.
• Состояние, в котором шлюз основного провайдера доступен:

o    pix# show sla monitor operational-state 123

o    Entry number: 123

o    Modification time: 13:59:37.824 UTC Thu Oct 12 2006

o    Number of Octets Used by this Entry: 1480

o    Number of operations attempted: 367

o    Number of operations skipped: 0

o    Current seconds left in Life: Forever

o    Operational state of entry: Active

o    Last time this entry was reset: Never

o    Connection loss occurred: FALSE

o    Timeout occurred: FALSE

o    Over thresholds occurred: FALSE

o    Latest RTT (milliseconds): 1

o    Latest operation start time: 15:00:37.825 UTC Thu Oct 12 2006

o    Latest operation return code: OK

o    RTT Values:

o    RTTAvg: 1       RTTMin: 1       RTTMax: 1

NumOfRTT: 3     RTTSum: 3       RTTSum2: 3

• Состояние, в котором шлюз основного провайдера не доступен (ICMP пакеты возвращаются с тайм аутом), this is the operational state:

o    pix# show sla monitor operational-state

o    Entry number: 123

o    Modification time: 13:59:37.825 UTC Thu Oct 12 2006

o    Number of Octets Used by this Entry: 1480

o    Number of operations attempted: 385

o    Number of operations skipped: 0

o    Current seconds left in Life: Forever

o    Operational state of entry: Active

o    Last time this entry was reset: Never

o    Connection loss occurred: FALSE

o    Timeout occurred: TRUE

o    Over thresholds occurred: FALSE

o    Latest RTT (milliseconds): NoConnection/Busy/Timeout

o    Latest operation start time: 15:03:27.825 UTC Thu Oct 12 2006

o    Latest operation return code: Timeout

o    RTT Values:

o    RTTAvg: 0       RTTMin: 0       RTTMax: 0

o    NumOfRTT: 0     RTTSum: 0       RTTSum2: 0

Проверяем установлен ли резервный шлюз

Используйте команду show route для проверки того, существует ли в конфигурации резервный шлюз.

• Состояние, в котором шлюз основного провайдера доступен:

·         pix# show route

·          

·         Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP

·                D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area

·                N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2

·                E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP

·                i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area

·                * - candidate default, U - per-user static route, o - ODR

·                P - periodic downloaded static route

·          

·         Gateway of last resort is 10.200.159.1 to network 0.0.0.0

·          

·         S    64.101.0.0 255.255.0.0 [1/0] via 172.22.1.1, inside

·         C    172.22.1.0 255.255.255.0 is directly connected, inside

·         C    10.250.250.0 255.255.255.248 is directly connected, backup

·         C    10.200.159.0 255.255.255.248 is directly connected, outside

·         S*   0.0.0.0 0.0.0.0 [1/0] via 10.200.159.1, outside

• Состояние, в котором шлюз основного провайдера доступен:

·         pix(config)# show route

·          

·         Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP

·                D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area

·                N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2

·                E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP

·                i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area

·                * - candidate default, U - per-user static route, o - ODR

·                P - periodic downloaded static route

·          

·         Gateway of last resort is 10.250.250.1 to network 0.0.0.0

·          

·         S    64.101.0.0 255.255.0.0 [1/0] via 172.22.1.1, inside

·         C    172.22.1.0 255.255.255.0 is directly connected, inside

·         C    10.250.250.0 255.255.255.248 is directly connected, backup

·         C    10.200.159.0 255.255.255.248 is directly connected, outside

·         S*   0.0.0.0 0.0.0.0 [254/0] via 10.250.250.1, backup

Решение проблем

Команды Debug  

• debug sla monitor trace— отображает процесс операций отклика (echo).
• Объект мониторинга (шлюз основного ISP провайдера) доступен и отклик осуществляется.

o    IP SLA Monitor(123) Scheduler: Starting an operation

o    IP SLA Monitor(123) echo operation: Sending an echo operation

o    IP SLA Monitor(123) echo operation: RTT=3 OK

o    IP SLA Monitor(123) echo operation: RTT=3 OK

o    IP SLA Monitor(123) echo operation: RTT=4 OK

IP SLA Monitor(123) Scheduler: Updating result

• Объект мониторинга (шлюз основного ISP провайдера) не доступен и отклик не осуществляется.

o    IP SLA Monitor(123) Scheduler: Starting an operation

o    IP SLA Monitor(123) echo operation: Sending an echo operation

o    IP SLA Monitor(123) echo operation: Timeout

o    IP SLA Monitor(123) echo operation: Timeout

o    IP SLA Monitor(123) echo operation: Timeout

IP SLA Monitor(123) Scheduler: Updating result

• debug sla monitor error— Отображает статистику процесса SLA монитора.
• Объект мониторинга (шлюз основного ISP провайдера) доступен и отклик осуществляется.

o    %PIX-7-609001: Built local-host NP Identity Ifc:10.200.159.2

o    %PIX-7-609001: Built local-host outside:10.0.0.1

o    %PIX-6-302020: Built ICMP connection for faddr 10.0.0.1/0 gaddr

o                   10.200.159.2/52696 laddr 10.200.159.2/52696

o    %PIX-6-302021: Teardown ICMP connection for faddr 10.0.0.1/0 gaddr

o                   10.200.159.2/52696 laddr 10.200.159.2/52696

o    %PIX-7-609002: Teardown local-host NP Identity Ifc:10.200.159.2 duration

o                   0:00:00

o    %PIX-7-609002: Teardown local-host outside:10.0.0.1 duration 0:00:00

o    %PIX-7-609001: Built local-host NP Identity Ifc:10.200.159.2

o    %PIX-7-609001: Built local-host outside:10.0.0.1

o    %PIX-6-302020: Built ICMP connection for faddr 10.0.0.1/0 gaddr

o                   0.200.159.2/52697 laddr 10.200.159.2/52697

o    %PIX-6-302021: Teardown ICMP connection for faddr 10.0.0.1/0 gaddr

o                   10.200.159.2/52697 laddr 10.200.159.2/52697

o    %PIX-7-609002: Teardown local-host NP Identity Ifc:10.200.159.2

o                   duration 0:00:00

%PIX-7-609002: Teardown local-host outside:10.0.0.1 duration 0:00:00

• Объект мониторинга (шлюз основного ISP провайдера) доступен и шлюз основного провайдера удаляется из таблицы маршрутизации.

o    %PIX-7-609001: Built local-host NP Identity Ifc:10.200.159.2

o    %PIX-7-609001: Built local-host outside:10.0.0.1

o    %PIX-6-302020: Built ICMP connection for faddr 10.0.0.1/0 gaddr

o                   10.200.159.2/6405 laddr 10.200.159.2/6405

o    %PIX-6-302020: Built ICMP connection for faddr 10.0.0.1/0 gaddr 

o                   10.200.159.2/6406 laddr 10.200.159.2/6406

o    %PIX-6-302020: Built ICMP connection for faddr 10.0.0.1/0 gaddr 

o                   10.200.159.2/6407 laddr 10.200.159.2/6407

o    %PIX-6-302021: Teardown ICMP connection for faddr 10.0.0.1/0 gaddr 

o                   10.200.159.2/6405 laddr 10.200.159.2/6405

o    %PIX-6-302021: Teardown ICMP connection for faddr 10.0.0.1/0 gaddr 

o                   10.200.159.2/6406 laddr 10.200.159.2/6406

o    %PIX-6-302021: Teardown ICMP connection for faddr 10.0.0.1/0 gaddr 

o                   10.200.159.2/6407 laddr 10.200.159.2/6407

o    %PIX-7-609002: Teardown local-host NP Identity Ifc:10.200.159.2

o                   duration 0:00:02

o    %PIX-7-609002: Teardown local-host outside:10.0.0.1 duration 0:00:02

o    %PIX-6-622001: Removing tracked route 0.0.0.0 0.0.0.0 10.200.159.1, 

o                   distance 1, table Default-IP-Routing-Table, on interface

o                   outside

o     

o    !--- 10.0.0.1 недоступен, поэтому шлюз основного ISP провайдер удаляется.

o     

Неудачное удаление отслеживаемого маршрута

Если отслеживаемый маршрут не был удалён, убедитесь в том, что отслеживаемый объект всегда доступен для откликов (того самого пинга – echo). Так же удостоверьтесь в том, что отслеживаемый объект не принадлежит той же подсети, в которой существует Ваш основной провайдер ISP.

Выбирая отслеживаемый объект убедитесь в том, что он находится в пределах Вашего провайдера ISP (основное правило – объект должен отвечать на пинги). Проблема может быть в том, что процесс SLA монитора обнаружил недоступность основного шлюза и попытался определить, доступен ли резервный шлюз.

SLA мониторинг на Cisco ASA

Проблема:

SLA мониторинг не работает после того, как Вы обновили Cisco ASA до версии 8.0.

Решение:

Возможно Вы использовали команду IP Reverse-Path на Внешнем интерфейсе. Удалите данную команду с внешнего интерфейса Cisco ASA и проверьте работу SLA мониторинга.

Если у Вас появились вопросы, можете задать их в форуме.

Более подробную. Информацию о том, как настроить избыточность или резервный канал на Cisco PIX, резервный канал на Cisco ASA читайте на сайте производителя по ссылке

http://www.cisco.com/en/US/products/hw/vpndevc/ps2030/products_configuration_example09186a00806e880b.shtml