Configureer dubbele ISP-failover voor FTD die door FMC wordt beheerd

Downloadopties

  • PDF     (818.5 KB)
    Met Adobe Reader op diverse apparaten bekijken
  • ePub     (644.8 KB)
    Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
  • Mobi (Kindle)     (572.0 KB)
    Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken
Bijgewerkt:8 augustus 2023
Document-id:220636

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

    Inleiding

    Dit document beschrijft hoe u DUBBELE ISP-failover kunt configureren met PBR en IP SLA’s op een FTD die wordt beheerd door FMC.

    Voorwaarden

    Vereisten

    Cisco raadt kennis van de volgende onderwerpen aan:

    • Op beleid gebaseerde routing (PBR)
    • Internet Protocol-overeenkomst voor serviceniveau (IP SLA)
    • Firepower Management Center (FMC)
    • Firepower Threat Defense (FTD)

    Gebruikte componenten

    De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:

    • VCCv 7.3.0
    • FTDv 7.3.0

    De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.

    Achtergrondinformatie

    Statische routetracering - Overzicht

    Met de functie Static Route Tracking kan de FTD een verbinding met een secundaire ISP gebruiken in het geval dat de primaire huurlijn niet beschikbaar wordt. Om deze redundantie te bereiken, associeert de FTD een statische route met een controledoel dat u definieert. De SSLA-handeling bewaakt het doel met periodieke ICMP-echoverzoeken.

    Als een echoantwoord niet wordt ontvangen, dan wordt het voorwerp overwogen neer, en de bijbehorende route wordt verwijderd uit de verpletterende lijst. Een eerder ingestelde back-uproute wordt gebruikt in plaats van de route die wordt verwijderd. Tijdens het gebruik van de back-uproute gaat de SLA-monitorbewerking door met pogingen om het monitoringdoel te bereiken.

    Zodra het doel opnieuw beschikbaar is, wordt de eerste route vervangen in de routeringstabel, en de reserveroute wordt verwijderd.

    U kunt nu meerdere next-hop en op beleid gebaseerde routing doorsturen acties tegelijkertijd configureren. Wanneer het verkeer aan de criteria voor de route voldoet, probeert het systeem verkeer naar de IP-adressen in de door u opgegeven volgorde door te sturen, totdat het slaagt.

    Deze functie is beschikbaar op FTD-apparaten met versie 7.1 en wordt later beheerd door een FMC versie 7.3 en hoger. 

    Configureren

    Netwerkdiagram

    Dit beeld verstrekt een voorbeeld van een netwerkdiagram.

    Diagram ExampleAfbeelding 1. Voorbeeld diagram.

    ISP1 = 10.115.117.1

    ISP2 = 172.20.20.13

    Configuraties

    Stap 1. Configureer de objecten SLA Monitor.

    Navigeer in het VCC naar Object > Object Management > SLA Monitor > Add SLA Monitor en voeg een SLA Monitor object toe voor de IP-adressen van de ISP.

    SLA-monitor voor de primaire standaardgateway (ISP1).

    SLA1 Monitor Configuration WindowAfbeelding 2. configuratievenster SLA1-monitor.

    SLA-monitor voor de secundaire standaardgateway (ISP2).

    SLA2 Monitor Configuration WindowAfbeelding 3. SLA2-venster voor monitorconfiguratie.

    Stap 2. Configureer de statische routes met routespoor.

    Navigeer in het VCC naar Device > Device Management > Edit the desired FTD > Routing > Static Routesen voeg de statische routes toe met de juiste SLA-monitor. 

    De SLA-monitor moet degene zijn die de standaardgateway bewaakt.

    Statische route voor de primaire standaardgateway:

    Static Route Configuration Window for the Outside InterfaceAfbeelding 4. Het statische venster van de routeconfiguratie voor de Buiteninterface.

    Statische route voor de secundaire standaardgateway.

    Static Route Configuration Window for the Backup InterfaceAfbeelding 5. Statische routeconfiguratievenster voor de Reserve-interface.

    Stap 3. Configureer de beleidsbasisrouters. 

    Naar navigeren Device > Device Management > Edit the desired FTD > Routing > Policy Based Routing, voeg de PBR toe en kies de toegangsinterface.

    PBR Configuration WindowAfbeelding 6. PBR-configuratievenster.

    Configureer de doorsturen acties.

    • Kies of voeg een nieuwe toegangscontrolelijst toe die u wilt aanpassen.
    • KiezenIP Address van de Send to optie. 
    • In dit voorbeeld, 10.115.117.234 is het FTD binnen IP adres. 

    Forwarding Actions Configuration WindowAfbeelding 7. Door:sturen het configuratievenster van Acties.

    Blader naar beneden en voeg de Verify Availability  waarden voor ISP1.

    Forwarding Actions Configuration WindowAfbeelding 8. Door:sturen het configuratievenster van Acties.

    Herhaal hetzelfde proces voor de back-upinterface. Zorg er echter voor dat u een ander object van de toegangscontrolelijst gebruikt. 

    Forwarding Actions Configuration WindowAfbeelding 9. Configuratievenster Doorsturen van handelingen

    Herhaal hetzelfde proces voor deVerify Availabilityconfiguratie maar nu voor ISP2. 

    Verify Availability ConfigurationAfbeelding 10. Controleer de configuratie van de beschikbaarheid.

    Bevestig uw configuratie.

    PBR ConfigurationAfbeelding 11. PBR-configuratie.

    Verifiëren

    Toegang tot de FTD via Secure Shell (SSH) en gebruik de opdracht system support disagnotsic-cli en voer deze opdrachten uit:

    • show route-map: Dit bevel toont de route-kaart configuratie.

    firepower# show route-map 

    route-map FMC_GENERATED_PBR_1679065711925, permit, sequence 5
    Match clauses:
    ip address (access-lists): internal_networks

    Set clauses:
    ip next-hop verify-availability 10.115.117.1 1 track 1 [up]
    ip next-hop 10.115.117.234
    route-map FMC_GENERATED_PBR_1679065711925, permit, sequence 10
    Match clauses:
    ip address (access-lists): all_ipv4_for_pbr

    Set clauses:
    ip next-hop verify-availability 172.20.20.13 2 track 2 [up]
    ip next-hop 172.20.20.77
    firepower#
    • show running-config sla monitor: Deze opdracht geeft de SLA-configuratie weer.
    firepower# show running-config sla monitor 
    sla monitor 1
    type echo protocol ipIcmpEcho 10.115.117.1 interface outside
    sla monitor schedule 1 life forever start-time now
    sla monitor 2
    type echo protocol ipIcmpEcho 172.20.20.13 interface backup
    sla monitor schedule 2 life forever start-time now
    firepower#
    • show sla monitor configuration: Deze opdracht geeft de SLA-configuratiewaarden weer.
    firepower# show sla monitor configuration 
    SA Agent, Infrastructure Engine-II
    Entry number: 1
    Owner: 
    Tag: 
    Type of operation to perform: echo
    Target address: 10.115.117.1
    Interface: outside
    Number of packets: 1
    Request size (ARR data portion): 28
    Operation timeout (milliseconds): 5000
    Type Of Service parameters: 0x0
    Verify data: No
    Operation frequency (seconds): 60
    Next Scheduled Start Time: Start Time already passed
    Group Scheduled : FALSE
    Life (seconds): Forever
    Entry Ageout (seconds): never
    Recurring (Starting Everyday): FALSE
    Status of entry (SNMP RowStatus): Active
    Enhanced History:

    Entry number: 2
    Owner: 
    Tag: 
    Type of operation to perform: echo
    Target address: 172.20.20.13
    Interface: backup
    Number of packets: 1
    Request size (ARR data portion): 28
    Operation timeout (milliseconds): 5000
    Type Of Service parameters: 0x0
    Verify data: No
    Operation frequency (seconds): 60
    Next Scheduled Start Time: Start Time already passed
    Group Scheduled : FALSE
    Life (seconds): Forever
    Entry Ageout (seconds): never
    Recurring (Starting Everyday): FALSE
    Status of entry (SNMP RowStatus): Active
    Enhanced History:
    • show sla monitor operational-state: Dit bevel toont de operationele staat van de verrichting van SLA.
    firepower# show sla monitor operational-state 
    Entry number: 1
    Modification time: 15:48:04.332 UTC Fri Mar 17 2023
    Number of Octets Used by this Entry: 2056
    Number of operations attempted: 74
    Number of operations skipped: 0
    Current seconds left in Life: Forever
    Operational state of entry: Active
    Last time this entry was reset: Never
    Connection loss occurred: FALSE
    Timeout occurred: FALSE
    Over thresholds occurred: FALSE
    Latest RTT (milliseconds): 1
    Latest operation start time: 17:01:04.334 UTC Fri Mar 17 2023
    Latest operation return code: OK
    RTT Values:
    RTTAvg: 1 RTTMin: 1 RTTMax: 1
    NumOfRTT: 1 RTTSum: 1 RTTSum2: 1

    Entry number: 2
    Modification time: 15:48:04.335 UTC Fri Mar 17 2023
    Number of Octets Used by this Entry: 2056
    Number of operations attempted: 74
    Number of operations skipped: 0
    Current seconds left in Life: Forever
    Operational state of entry: Active
    Last time this entry was reset: Never
    Connection loss occurred: FALSE
    Timeout occurred: FALSE
    Over thresholds occurred: FALSE
    Latest RTT (milliseconds): 1
    Latest operation start time: 17:01:04.337 UTC Fri Mar 17 2023
    Latest operation return code: OK
    RTT Values:
    RTTAvg: 1 RTTMin: 1 RTTMax: 1
    NumOfRTT: 1 RTTSum: 1 RTTSum2: 1
    • show track: Deze opdracht geeft de informatie weer over objecten die worden bijgehouden door het SLA Track-proces.
    firepower# show track 
    Track 1
    Response Time Reporter 1 reachability
    Reachability is Up
    4 changes, last change 00:53:42
    Latest operation return code: OK
    Latest RTT (millisecs) 1
    Tracked by:
    ROUTE-MAP 0
    STATIC-IP-ROUTING 0
    Track 2
    Response Time Reporter 2 reachability
    Reachability is Up
    2 changes, last change 01:13:41
    Latest operation return code: OK
    Latest RTT (millisecs) 1
    Tracked by:
    ROUTE-MAP 0
    STATIC-IP-ROUTING 0
    • show running-config route: Dit bevel toont de huidige routeconfiguratie.
    firepower# show running-config route
    route outside 0.0.0.0 0.0.0.0 10.115.117.1 1 track 1
    route backup 0.0.0.0 0.0.0.0 172.20.20.13 254 track 2
    route vlan2816 10.42.0.37 255.255.255.255 10.43.0.1 254
    firepower#
    • show route: Dit bevel toont de routeringstabel voor de gegevensinterfaces.

    firepower# show route

    Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
    D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area 
    N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
    E1 - OSPF external type 1, E2 - OSPF external type 2, V - VPN
    i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
    ia - IS-IS inter area, * - candidate default, U - per-user static route
    o - ODR, P - periodic downloaded static route, + - replicated route
    SI - Static InterVRF, BI - BGP InterVRF
    Gateway of last resort is 10.115.117.1 to network 0.0.0.0

    S* 0.0.0.0 0.0.0.0 [1/0] via 10.115.117.1, outside
    S 10.0.0.0 255.0.0.0 [1/0] via 10.88.243.1, backbone
    C 10.88.243.0 255.255.255.0 is directly connected, backbone
    L 10.88.243.67 255.255.255.255 is directly connected, backbone
    C 10.115.117.0 255.255.255.0 is directly connected, outside
    L 10.115.117.234 255.255.255.255 is directly connected, outside
    C 10.42.0.0 255.255.255.0 is directly connected, vlan2816
    L 10.42.0.1 255.255.255.255 is directly connected, vlan2816
    S 10.42.0.37 255.255.255.255 [254/0] via 10.43.0.1, vlan2816
    C 172.20.20.0 255.255.255.0 is directly connected, backup
    L 172.20.20.77 255.255.255.255 is directly connected, backup

    Wanneer de primaire link mislukt:

    • show route-map: Dit bevel toont de route-kaart configuratie wanneer een verbinding ontbreekt.

    firepower# show route-map FMC_GENERATED_PBR_1679065711925

    route-map FMC_GENERATED_PBR_1679065711925, permit, sequence 5
    Match clauses:
    ip address (access-lists): internal_networks

    Set clauses:
    ip next-hop verify-availability 10.115.117.1 1 track 1 [down]
    ip next-hop 10.115.117.234
    route-map FMC_GENERATED_PBR_1679065711925, permit, sequence 10
    Match clauses:
    ip address (access-lists): all_ipv4_for_pbr

    Set clauses:
    ip next-hop verify-availability 172.20.20.13 2 track 2 [up]
    ip next-hop 172.20.20.77
    firepower#
    • show route: Dit bevel toont de nieuwe routeringstabel per interface.
    firepower# show route

    Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
    D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area 
    N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
    E1 - OSPF external type 1, E2 - OSPF external type 2, V - VPN
    i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
    ia - IS-IS inter area, * - candidate default, U - per-user static route
    o - ODR, P - periodic downloaded static route, + - replicated route
    SI - Static InterVRF, BI - BGP InterVRF
    Gateway of last resort is 10.115.117.1 to network 0.0.0.0

    S* 0.0.0.0 0.0.0.0 [1/0] via 172.20.20.13, backup
    S 10.0.0.0 255.0.0.0 [1/0] via 10.88.243.1, backbone
    C 10.88.243.0 255.255.255.0 is directly connected, backbone
    L 10.88.243.67 255.255.255.255 is directly connected, backbone
    C 10.115.117.0 255.255.255.0 is directly connected, outside
    L 10.115.117.234 255.255.255.255 is directly connected, outside
    C 10.42.0.0 255.255.255.0 is directly connected, vlan2816
    L 10.42.0.1 255.255.255.255 is directly connected, vlan2816
    S 10.42.0.37 255.255.255.255 [254/0] via 10.43.0.1, vlan2816
    C 172.20.20.0 255.255.255.0 is directly connected, backup
    L 172.20.20.77 255.255.255.255 is directly connected, backup

    Gerelateerde informatie

    Revisiegeschiedenis

    Revisie Publicatiedatum Opmerkingen
    2.0
    08-Aug-2023
    Eerste vrijgave
    1.0
    26-Jul-2023
    Eerste vrijgave
    TAC Authored

    Bijgedragen door Cisco-engineers

    • Leonel Matus Climaco
      Cisco TAC Engineer
    • Oscar Montoya Torres
      Cisco TAC Engineer

    Was dit document nuttig?

    FeedbackFeedback

    Contact Cisco

    Dit document is van toepassing op deze producten