思科认证:思科ASA/PIX的双出口问题解决

会计考友

思科认证:思科ASA/PIX的双出口问题解决
$ q8 W, j0 A( \1 Y思科ASA/PIX的双出口问题解决方案
Asa/PIX的Static Route Tracking命令可以有效解决双ISP出口的问题
1 {7 Q1 o2 ^: @( N: u; l# B) i存在问题：
静态路由没有固定的机制来决定是否可用，即使下一跳不可达，静态路由还是会存在路由表里，是有当ASA自己的和这条路由相关接口down了，才会从路由表里删除
解决办法：
5 G, M, R% p5 }& {4 q+ X) wStatic Route Tracking这个feature提供一种方法来追踪静态路由，当主路由失效时可以安装备份路由进路由表，例如：2条缺省指向不同ISP，当主的ISP 断了，可以立即启用备用ISP链路，它是使用ICMP来进行追踪的，如果在一定holdtime没有收到reply的话就认为这条链路down了，就会立即删除该静态路由，预先设置的备份路由就会进入路由表。
6 V" Q8 P7 h9 u8 D  E注意：配置时要在outside口上放开icmp reply（如果打开了icmp限制）
9 p7 c' [% r, i/ V; |) E; GpixFirewall（config）#sla monitor sla_id #指定检测的slaID
4 N, u# K9 L+ k, O' a/ uPixfirewall（config-sla-monitor）# type echo protocol ipIcmpEcho target_ip interface
5 C7 q4 R1 v+ a( a% t; rif_name #指定检测的协议类型为ICMP协议，并指定检测目的地址和接口
8 \- r, F: A4 ?- T& T+ O这个必须是个可以ping通的地址，当这个地址不可用时，track跟踪的路由就会被删除，备份路由进路由表
8 s5 m) B4 X% a+ N$ z0 i" _pixFirewall（config）#sla monitor schedule sla_id ［life {forever | seconds}］ ［start-time {hh:mm［：ss］ ［month day | day month］ | pending | now | after hh:mm:ss}］ ［ageout seconds］ ［recurring］ #指定一个Schedule，一般会是start now
必须要写时间表，不然track的路由进不了路由表
3 u& u- a% f$ q6 NpixFirewall（config）# track track_id rtr sla_id reachability #指定一个TrackID，并要求追踪SlaID的可达性
8 m- l" |4 f( p/ m1 b- OpixFirewall（config）# route if_name dest_ip mask gateway_ip ［admin_distance］ track track_i #设定默认路由，并绑定一个TrackID
配置实例：
sla monitor 1
type echo protocol ipIcmpEcho 202.1.1.2 interface dx
/ i( u7 `$ r; ~1 m% |$ q7 ~, osla monitor schedule 1 start-time now（必须配置，不然track的路由进不了路由表）
$ k& c' ?1 D! z  @( ?track 2 rtr 1 reachability
; @' o( j' I5 S7 qroute dx 0.0.0.0 0.0.0.0 202.1.1.2 1 track 2 （电信默认网关，会追踪地址的可达性）
route wt 0.0.0.0 0.0.0.0 101.1.1.2 2 （网通默认网关）

当配置的202.1.1.2 ping不通（ICMP协议不能Reachability）的时候，route dx 0.0.0.0 0.0.0.0 202.1.1.2 1就会在路由表里删除，并由第二条默认路由即route wt 0.0.0.0 0.0.0.0 101.1.1.2 2取代，当202.1.1.2恢复后，又会重新变为dx 0.0.0.0 0.0.0.0 202.1.1.2 1
这个feature我想大家在很多项目里都会遇到，ASA可以有效解决！
/ I' f* B: w  p* ^& I8 G* N这与我们用路由器实现双出口备份是一样的，通过配置SAA，检查其连通性。并跟踪这结果。来对路由进行选择，实现思路非常精巧！
, A% C; _' b6 U# b附：PIX双出口ISP配置实例
0 p) O$ F& C: @4 B: a6 t, D网络拓扑图：
配置文件：
Pixfirewall# show running-config
： Saved
：
! d; r( l) l7 APIX Version 7.2（1）
. @) S9 T+ U0 J! @, G9 \8 u* U！hostname pix
domain-name default.domain.invalid
enable password 9jNfZuG3TC5tCVH0 encrypted
names
+ q3 J) O0 M- ~1 k8 `7 @' i' J  M- J！interface Ethernet0
( ]1 E/ H' I4 ^2 p* U* o4 g/ Hnameif outside
security-level 0
+ s6 t$ U$ I6 H4 ], dip address 10.200.159.2 255.255.255.248
！interface Ethernet1
% {* O* }* l0 [0 w) Unameif backup！--- 命名链接备份ISP接口的接口名字，随便起名字的security-level 0
ip address 10.250.250.2 255.255.255.248
！interface Ethernet2
nameif inside
- @) U+ C7 i. e5 R1 Ssecurity-level 100
ip address 172.22.1.163 255.255.255.0
7 A2 D0 Y3 t" e# N! y) Y6 a！interface Ethernet3
! U0 X4 m5 F* Dshutdown
/ w9 r. ]: ]3 X1 _8 N; eno nameif
no security-level
no ip address
( g  w, J8 T& M: \( s6 q！
interface Ethernet4
shutdown
/ P: O" a) `3 E8 K$ b& Yno nameif
no security-level
) O. }  j% y. G5 sno ip address
！
interface Ethernet5
shutdown
no nameif
no security-level
5 g/ ^$ L- X/ eno ip address
！
! X+ B, V' [! N* M4 s1 a' Wpasswd 2KFQnbNIdI.2KYOU encrypted
ftp mode passive
' ^7 D, T6 f8 y. bdns server-group DefaultDNS
6 V, k  n: {( K; b; ^9 mdomain-name default.domain.invalid
pager lines 24
+ P0 B6 L6 O3 D0 @logging enable
0 i& l3 n4 B! i, z% Qlogging buffered debugging
& S# J6 P1 w6 D0 C1 }mtu outside 1500
mtu backup 1500
mtu inside 1500
% v* q% l9 m/ E: Cno failover
asdm image flash:/asdm521.bin
no asdm history enable
( m- _, l4 V8 a/ Uarp timeout 14400
global （outside） 1 interface
global （backup） 1 interface
9 j; P, Y* A0 G/ O3 \! Fnat （inside） 1 172.16.1.0 255.255.255.0
！--- 配置双ISP接口的NAT，都直接指定接口而不是IP地址
1 k( g; y3 h6 \  @9 u+ y( Mroute outside 0.0.0.0 0.0.0.0 10.200.159.1 1 track 1
！--- 配置被追踪的默认静态路由，并指定管理距离为1.
3 p# ]) }5 b7 q4 b！--- 被追踪的静态路由如果追踪成功则在路由表中，否则从路由表中清除
  R, `; p8 ?6 x9 groute backup 0.0.0.0 0.0.0.0 10.250.250.1 254

' i7 ]" T* n7 T! ?！--- 配置备份的默认静态路由，一定要指定的管理距离大于被追踪的静态默认路由
- t% l7 Z& t1 p" m) O！--- 当被追踪默认静态路由追踪成功时，则选用被追踪路由，因为其管理距离小
！--- 当被追踪的默认静态路由追踪不成功时，则选用本条路由，因为被追踪的默认路由已从路由表中清除。
) `+ G# @: p7 J4 f' \' L8 Stimeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
, I5 c7 [% F& D, S+ l- _timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
0 Z, s9 c7 B& btimeout uauth 0:05:00 absolute
6 N6 G( t7 B6 S: E! ]+ `username cisco password ffIRPGpDSOJh9YLq encrypted
2 Q# F" O1 F" f& c  T$ ^2 bhttp server enable
& U6 Y( M  p6 j+ j7 `http 172.22.1.0 255.255.255.0 inside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
4 r( D- }1 F. O/ i# p1 `sla monitor 123
5 d; }5 M# T  K% k8 d% G1 stype echo protocol ipIcmpEcho 10.0.0.1 interface outside
num-packets 3
frequency 10
, D2 |0 N4 ]2 X& R9 x' P, Y0 s8 Z2 E) Csla monitor schedule 123 life forever start-time now
' U% f& [! z+ q( F# c. Z！--- 配置SLA Monitor，设定ID为123;指定协议和监测目的IP地址及接口
！--- 并且设置了包的个数和频率为10秒
' m9 D, |+ V0 [6 y2 {！--- 配置了SLA Monitor ID为123的生命期和开始的时间
！
track 1 rtr 123 reachability
！--- 配置Track ID为1的RTR，要求判断标准为可达性。
！--- 与前面的命令route outside 0.0.0.0 0.0.0.0 10.0.0.2 1 track 1 相对应
( H7 J3 D' \( J, Z+ @! dtelnet timeout 5
ssh timeout 5
; A7 \* Z1 {0 V9 u& bconsole timeout 0
5 I" I* _% C8 G( ?% B4 g. h！
class-map inspection_default
' Q, [- {% D$ ?1 H0 r8 f  q, Mmatch default-inspection-traffic
！
% ~5 [1 v, l0 u; l) f$ B2 M！
* _& z- ?0 i% Tpolicy-map type inspect dns preset_dns_map
! R- e. x' M5 ?* {! \6 \) \6 [9 Aparameters
% P% y0 z+ r, \5 p1 i  Vmessage-length maximum 512
0 M) w& W+ m% u$ y8 Epolicy-map global_policy
2 L! j  v' G( r6 eclass inspection_default
/ k3 k* E* A& P8 o  c1 R3 Tinspect dns preset_dns_map
inspect ftp
inspect h323 h225
1 v2 Q2 F8 \: f$ ?# E3 Uinspect h323 ras
inspect netbios
- p" P3 Y, S3 Kinspect rsh
. x/ J9 r" u7 ]' S/ minspect rtsp
inspect skinny
% f) Y2 K3 \6 I/ O# |# B* n. Uinspect esmtp
- e) [2 r" |3 _4 oinspect sqlnet
inspect sunrpc
inspect tftp
inspect sip
inspect xdmcp
% D8 @/ V# B# D% C！
1 P( z5 O' g  v+ ]! Iservice-policy global_policy global
prompt hostname context
Cryptochecksum:a4a0e9be4593ad43bc17a1cc25e32dc2： end