The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Настройка резервного канала ISP на Cisco ASA 5500 с помощью SLA (Service Level Agreement). (cisco backup link)


<< Предыдущая ИНДЕКС Исправить src / Печать Следующая >>
Ключевые слова: cisco, backup, link,  (найти похожие документы)
From: AlexSatter <admin@armavir.ru.> Date: Mon, 6 Mar 2008 14:31:37 +0000 (UTC) Subject: Настройка резервного канала ISP на Cisco ASA 5500 с помощью SLA (Service Level Agreement). Условия: Есть два канала в интернет. 1. Оптический линк 2. ADSL Первый мы будем использовать как основной канал, а второй, как запасной, в случае если что-нибудь случится с оптоволоконной связью. Таким образом мы имеем три активных интерфейса Cisco ASA (конечно же management интерфейс тоже, но нас он сейчас меньше всего интересует). В конфигурационном файле имеет вид: ! interface GigabitEthernet0/0 nameif inside security-level 100 ip address 10.0.0.1 255.255.255.0 ! interface GigabitEthernet0/1 nameif outside security-level 0 ip address xx.xx.XX.XX2 255.255.255.252 ! interface GigabitEthernet0/2 shutdown nameif outside_adsl security-level 0 ip address yy.yy.yy.yy.2 255.255.255.252 Будем считать, что на одном интерфейсе, смотрящего в сторону провайдера у нас всё настроено, интернет работает, NAT поднят. Для обеспечения переключения в случае когда по оптическому линку вдруг перестают ходить пакеты нужно настроить механизм SLA. Как это работает? Очень просто, мы указываем чтоб по основному интерфейсу до определённого хоста (обычно шлюз провайдерский, либо шлюз аплинкера прова) каждый некоторый интервал производились отправки icmp echo request. Если ответ echo replay приходит, то всё хорошо, если всё плохо, то переключаемся на дополнительный канал, в нашем случае ADSL Как это настраивается в Cisco ASA 55xx. ciscoasa# conf t ciscoasa(config)# sla monitor 1 ciscoasa(config-sla-monitor)#type echo protocol ipIcmpEcho xx.xx.xx.xx1 interface outside ciscoasa(config-sla-monitor-echo)#num-packets 3 ciscoasa(config-sla-monitor-echo)#frequency 10 Первой командой мы сказали что номер SLA конфигурации 1-ый, и тем самым зашли в режим конфигурации SLA Дальше мы определяем тип мониторинга, указываем протокол и Адрес узла, который будем проверять на "живучесть", и соответсвенно интерфейс через который всё это будет делаться. Следующей командой мы указываем сколько пакетов в сторону хоста будет направлено, frequency указывает на то, как часто мы будем посылать echo request хосту, в нашем случае каждые 10 секунд. Так же можно указать порог ответа (echo replay), до которого будет считаться что всё впорядке, если свыше переходить соответсвенно на запасной канал. делается это с помощью treshold в режиме config-sla-monitor-echo. ТАК ЖЕ МОЖНО ВЫСТАВИТЬ время timeout для conn,h323,sip и так далее. Для нас данных настроек достаточно,доп.информацию всегда можно почерпнуть на cisco.com, ссылки приведу ниже. ciscoasa(config)#sla monitor schedule 1 life forever start-time now Здесь мы указываем когда запускать данный мониторинг и его время жизни. В данном случае мониторинг запущен всегда, т.е. всегда проверяется "живучесть нашего хоста". Далее нам необходимо прописать трэк, который будет привязан к нашему основному каналу. ciscoasa(config)# track 1 rtr 1 reachability Данный трэк, делает то, что если после падения основного провайдера он восстанавливается, всё возвращается с резервного на основной, с помощью смены шлюза по умолчанию. конечно же в настройках gateway необходимо это указать следующим образом route outside 0.0.0.0 0.0.0.0 xx.xx.xx.xx1 1 track 1 route outside_adsl 0.0.0.0 0.0.0.0 yy.yy.yy.yy1 254 Настройка SLA закончена. теперь можно проверить. Посмотрим что у нас сейчас в таблице маршрутизации ciscoasa# sh route Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area * - candidate default, U - per-user static route, o - ODR P - periodic downloaded static route Gateway of last resort is 83.69.71.205 to network 0.0.0.0 C xx.xx.xx.xx 255.255.255.252 is directly connected, outside C yy.yy.yy.0 255.255.255.0 is directly connected, outside_adsl C 127.0.0.0 255.255.0.0 is directly connected, cplane C 10.10.10.0 255.255.255.0 is directly connected, management C 10.0.0.0 255.255.255.0 is directly connected, inside S* 0.0.0.0 0.0.0.0 [1/0] via xx.xx.xx.xx1, outside ciscoasa# Сейчас интернет работает у нас через основного провайдера, т.е. через интерфейс outside, о чем говорит нам последняя строка sh route. После отключения интерфейса outside (просто выдернем патчёкорд), через несколько секунд заглянем в тот же sh route ciscoasa# sh route Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area * - candidate default, U - per-user static route, o - ODR P - periodic downloaded static route Gateway of last resort is 83.69.71.205 to network 0.0.0.0 C xx.xx.xx.xx 255.255.255.252 is directly connected, outside C yy.yy.yy.0 255.255.255.0 is directly connected, outside_adsl C 127.0.0.0 255.255.0.0 is directly connected, cplane C 10.10.10.0 255.255.255.0 is directly connected, management C 10.0.0.0 255.255.255.0 is directly connected, inside S* 0.0.0.0 0.0.0.0 [1/0] via yy.yy.yy.yy1, outside_adsl ciscoasa# теперь мы видим, что шлюз по умолчания у нас изменился, что нам и требовалось. Теперь, как только "поднимется" основной канал, весь трафик пойдёт через него. Для того, чтоб посмотреть как ходят пакетики и проверяют живучесть, можно использовать debug ciscoasa# debug sla monitor trace И соответсвенно для просмотра ошибок ciscoasa# debug sla monitor error Ссылки: - http://cisco.com/en/US/products/hw/vpndevc/ps2030/products_configuration_example09186a00806e880b.shtml - http://root.armavir.ru

<< Предыдущая ИНДЕКС Исправить src / Печать Следующая >>

 Добавить комментарий
Имя:
E-Mail:
Заголовок:
Текст:




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру