المقدمة
يوضح هذا المستند كيفية تكوين تجاوز فشل ISP المزدوج باستخدام PBR و IP SLAs على FTD الذي تتم إدارته بواسطة FMC.
المتطلبات الأساسية
المتطلبات
توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:
- التوجيه المستند إلى السياسة (PBR)
- إتفاقية مستوى خدمة بروتوكول الإنترنت (IP SLA)
- مركز إدارة Firepower (FMC)
- Firepower Threat Defense (FTD)
المكونات المستخدمة
تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.
معلومات أساسية
نظرة عامة على ميزة تعقب المسار الثابت
تتيح ميزة "تعقب المسار الثابت" ل FTD إستخدام اتصال ب ISP ثانوي في حالة عدم توفر الخط المؤجر الأساسي. ومن أجل تحقيق هذا التكرار، يقوم "برنامج الإرسال فائق السرعة (FTD)" بربط مسار ثابت بهدف مراقبة تقوم بتحديده. تراقب عملية SSLA الهدف باستخدام طلبات صدى ICMP الدورية.
إذا لم يتم تلقي رد صدى، فسيتم إعتبار الكائن معطلا، ويتم إزالة المسار المقترن من جدول التوجيه. يتم إستخدام مسار نسخ إحتياطي تم تكوينه مسبقا بدلا من المسار الذي تمت إزالته. وبينما يكون مسار النسخ الاحتياطي قيد الاستخدام، تواصل عملية مراقبة SLA محاولاتها للوصول إلى هدف المراقبة.
وبمجرد توفر الهدف مرة أخرى، يتم إستبدال المسار الأول في جدول التوجيه، كما تتم إزالة مسار النسخ الاحتياطي.
يمكنك الآن تكوين العديد من إجراءات إعادة توجيه التحركات التالية المستندة إلى السياسة في نفس الوقت. عندما تتطابق حركة المرور مع معايير المسار، يحاول النظام إعادة توجيه حركة المرور إلى عناوين IP بالترتيب الذي تحدده، حتى تنجح.
تتوفر الميزة على أجهزة FTD التي تشغل الإصدار 7.1 والتي تتم إدارتها لاحقا بواسطة الإصدار 7.3 من FMC والإصدارات الأحدث.
التكوين
الرسم التخطيطي للشبكة
تقدم هذه الصورة مثالا على الرسم التخطيطي للشبكة.
الصورة 1. مثال على الرسم التخطيطي.
ISP1 = 10.115.117.1
ISP2 = 172.20.20.13
التكوينات
الخطوة 1. تكوين كائنات مراقبة SLA.
على وحدة التحكم في إدارة اللوحة الأساسية (FMC)، انتقل إلى Object > Object Management > SLA Monitor > Add SLA Monitor كائن شاشة SLA الخاص بعناوين IP ل ISP وأضفه.
شاشة SLA للعبارة الافتراضية الأساسية (ISP1).
الصورة 2. إطار تكوين شاشة SLA1.
شاشة SLA للعبارة الافتراضية الثانوية (ISP2).
الصورة 3. إطار تكوين شاشة SLA2.
الخطوة 2. تكوين المسارات الثابتة باستخدام مسار المسار.
على وحدة التحكم في إدارة اللوحة الأساسية (FMC)، انتقل إلى Device > Device Management > Edit the desired FTD > Routing > Static Routes مسارات الإحصائيات وأضفها باستخدام شاشة SLA الصحيحة.
يجب أن تكون شاشة SLA هي التي تراقب البوابة الافتراضية.
المسار الثابت للعبارة الافتراضية الأساسية:
الصورة 4. نافذة تكوين المسار الثابت للواجهة الخارجية.
المسار الثابت للعبارة الافتراضية الثانوية.
الصورة 5. نافذة تكوين المسار الثابت لواجهة النسخ الاحتياطي.
الخطوة 3. تكوين المسارات الأساسية للنهج.
انتقل إلى Device > Device Management > Edit the desired FTD > Routing > Policy Based Routing, إضافة PBR، واختر واجهة الدخول.
الصورة 6. نافذة تكوين PBR.
تكوين إجراءات إعادة التوجيه.
- أختر قائمة تحكم في الوصول جديدة تريد مطابقتها أو قم بإضافتها.
- أختر
IP Address من Send to الخيار.
- في هذا المثال، 10.115.117.234 هو عنوان IP الخاص ب FTD الخارجي.
الصورة 7. نافذة تكوين إجراءات إعادة التوجيه.
قم بالتمرير إلى أسفل وإضافة Verify Availability قيم ISP1.
الصورة 8. نافذة تكوين إجراءات إعادة التوجيه.
كرر نفس العملية لواجهة النسخ الاحتياطي. ومع ذلك، تأكد من إستخدام كائن قائمة تحكم في الوصول مختلف.
الصورة 9. نافذة تكوين إجراءات إعادة التوجيه
كرر نفس العملية Verify Availabilityللتكوين ولكن الآن ل ISP2.
الصورة 10.تحقق من تكوين التوفر.
تحقق من صحة التكوين الخاص بك.
الصورة 11. تكوين PBR.
التحقق من الصحة
قم بالوصول إلى FTD من خلال القشرة الآمنة (SSH) واستخدم الأمر system support disagnotsic-cli وقم بتشغيل الأوامر التالية:
-
show route-map: يعرض هذا الأمر تكوين خريطة المسار.
firepower# show route-map
route-map FMC_GENERATED_PBR_1679065711925, permit, sequence 5
Match clauses:
ip address (access-lists): internal_networks
Set clauses:
ip next-hop verify-availability 10.115.117.1 1 track 1 [up]
ip next-hop 10.115.117.234
route-map FMC_GENERATED_PBR_1679065711925, permit, sequence 10
Match clauses:
ip address (access-lists): all_ipv4_for_pbr
Set clauses:
ip next-hop verify-availability 172.20.20.13 2 track 2 [up]
ip next-hop 172.20.20.77
firepower#
show running-config sla monitor: يعرض هذا الأمر تكوين SLA.
firepower# show running-config sla monitor
sla monitor 1
type echo protocol ipIcmpEcho 10.115.117.1 interface outside
sla monitor schedule 1 life forever start-time now
sla monitor 2
type echo protocol ipIcmpEcho 172.20.20.13 interface backup
sla monitor schedule 2 life forever start-time now
firepower#
show sla monitor configuration: يعرض هذا الأمر قيم تكوين SLA.
firepower# show sla monitor configuration
SA Agent, Infrastructure Engine-II
Entry number: 1
Owner:
Tag:
Type of operation to perform: echo
Target address: 10.115.117.1
Interface: outside
Number of packets: 1
Request size (ARR data portion): 28
Operation timeout (milliseconds): 5000
Type Of Service parameters: 0x0
Verify data: No
Operation frequency (seconds): 60
Next Scheduled Start Time: Start Time already passed
Group Scheduled : FALSE
Life (seconds): Forever
Entry Ageout (seconds): never
Recurring (Starting Everyday): FALSE
Status of entry (SNMP RowStatus): Active
Enhanced History:
Entry number: 2
Owner:
Tag:
Type of operation to perform: echo
Target address: 172.20.20.13
Interface: backup
Number of packets: 1
Request size (ARR data portion): 28
Operation timeout (milliseconds): 5000
Type Of Service parameters: 0x0
Verify data: No
Operation frequency (seconds): 60
Next Scheduled Start Time: Start Time already passed
Group Scheduled : FALSE
Life (seconds): Forever
Entry Ageout (seconds): never
Recurring (Starting Everyday): FALSE
Status of entry (SNMP RowStatus): Active
Enhanced History:
show sla monitor operational-state: يعرض هذا الأمر الحالة التشغيلية لعملية SLA.
firepower# show sla monitor operational-state
Entry number: 1
Modification time: 15:48:04.332 UTC Fri Mar 17 2023
Number of Octets Used by this Entry: 2056
Number of operations attempted: 74
Number of operations skipped: 0
Current seconds left in Life: Forever
Operational state of entry: Active
Last time this entry was reset: Never
Connection loss occurred: FALSE
Timeout occurred: FALSE
Over thresholds occurred: FALSE
Latest RTT (milliseconds): 1
Latest operation start time: 17:01:04.334 UTC Fri Mar 17 2023
Latest operation return code: OK
RTT Values:
RTTAvg: 1 RTTMin: 1 RTTMax: 1
NumOfRTT: 1 RTTSum: 1 RTTSum2: 1
Entry number: 2
Modification time: 15:48:04.335 UTC Fri Mar 17 2023
Number of Octets Used by this Entry: 2056
Number of operations attempted: 74
Number of operations skipped: 0
Current seconds left in Life: Forever
Operational state of entry: Active
Last time this entry was reset: Never
Connection loss occurred: FALSE
Timeout occurred: FALSE
Over thresholds occurred: FALSE
Latest RTT (milliseconds): 1
Latest operation start time: 17:01:04.337 UTC Fri Mar 17 2023
Latest operation return code: OK
RTT Values:
RTTAvg: 1 RTTMin: 1 RTTMax: 1
NumOfRTT: 1 RTTSum: 1 RTTSum2: 1
show track
: يعرض هذا الأمر المعلومات المتعلقة بالكائنات التي تم تعقبها بواسطة عملية تعقب SLA.
firepower# show track
Track 1
Response Time Reporter 1 reachability
Reachability is Up
4 changes, last change 00:53:42
Latest operation return code: OK
Latest RTT (millisecs) 1
Tracked by:
ROUTE-MAP 0
STATIC-IP-ROUTING 0
Track 2
Response Time Reporter 2 reachability
Reachability is Up
2 changes, last change 01:13:41
Latest operation return code: OK
Latest RTT (millisecs) 1
Tracked by:
ROUTE-MAP 0
STATIC-IP-ROUTING 0
show running-config route: يعرض هذا الأمر تكوين المسار الحالي.
firepower# show running-config route
route outside 0.0.0.0 0.0.0.0 10.115.117.1 1 track 1
route backup 0.0.0.0 0.0.0.0 172.20.20.13 254 track 2
route vlan2816 10.42.0.37 255.255.255.255 10.43.0.1 254
firepower#
show route: يعرض هذا الأمر جدول التوجيه لواجهات البيانات.
firepower# show route
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2, V - VPN
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
o - ODR, P - periodic downloaded static route, + - replicated route
SI - Static InterVRF, BI - BGP InterVRF
Gateway of last resort is 10.115.117.1 to network 0.0.0.0
S* 0.0.0.0 0.0.0.0 [1/0] via 10.115.117.1, outside
S 10.0.0.0 255.0.0.0 [1/0] via 10.88.243.1, backbone
C 10.88.243.0 255.255.255.0 is directly connected, backbone
L 10.88.243.67 255.255.255.255 is directly connected, backbone
C 10.115.117.0 255.255.255.0 is directly connected, outside
L 10.115.117.234 255.255.255.255 is directly connected, outside
C 10.42.0.0 255.255.255.0 is directly connected, vlan2816
L 10.42.0.1 255.255.255.255 is directly connected, vlan2816
S 10.42.0.37 255.255.255.255 [254/0] via 10.43.0.1, vlan2816
C 172.20.20.0 255.255.255.0 is directly connected, backup
L 172.20.20.77 255.255.255.255 is directly connected, backup
عند فشل الارتباط الأساسي:
show route-map: يعرض هذا الأمر تكوين خريطة المسار عند فشل إرتباط.
firepower# show route-map FMC_GENERATED_PBR_1679065711925
route-map FMC_GENERATED_PBR_1679065711925, permit, sequence 5
Match clauses:
ip address (access-lists): internal_networks
Set clauses:
ip next-hop verify-availability 10.115.117.1 1 track 1 [down]
ip next-hop 10.115.117.234
route-map FMC_GENERATED_PBR_1679065711925, permit, sequence 10
Match clauses:
ip address (access-lists): all_ipv4_for_pbr
Set clauses:
ip next-hop verify-availability 172.20.20.13 2 track 2 [up]
ip next-hop 172.20.20.77
firepower#
show route: يعرض هذا الأمر جدول التوجيه الجديد لكل واجهة.
firepower# show route
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2, V - VPN
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
o - ODR, P - periodic downloaded static route, + - replicated route
SI - Static InterVRF, BI - BGP InterVRF
Gateway of last resort is 10.115.117.1 to network 0.0.0.0
S* 0.0.0.0 0.0.0.0 [1/0] via 172.20.20.13, backup
S 10.0.0.0 255.0.0.0 [1/0] via 10.88.243.1, backbone
C 10.88.243.0 255.255.255.0 is directly connected, backbone
L 10.88.243.67 255.255.255.255 is directly connected, backbone
C 10.115.117.0 255.255.255.0 is directly connected, outside
L 10.115.117.234 255.255.255.255 is directly connected, outside
C 10.42.0.0 255.255.255.0 is directly connected, vlan2816
L 10.42.0.1 255.255.255.255 is directly connected, vlan2816
S 10.42.0.37 255.255.255.255 [254/0] via 10.43.0.1, vlan2816
C 172.20.20.0 255.255.255.0 is directly connected, backup
L 172.20.20.77 255.255.255.255 is directly connected, backup
معلومات ذات صلة