De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.
Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.
In dit document wordt beschreven hoe u de ECMP en IP SLA kunt configureren op een FTD die wordt beheerd door het VCC.
Cisco raadt kennis van de volgende onderwerpen aan:
De informatie in dit document is gebaseerd op deze software- en hardwareversie:
Cisco FTD versie 7.4.1
Cisco FMC versie 7.4.1
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.
In dit document wordt beschreven hoe u Equal-Cost Multi-Path (ECMP) kunt configureren in combinatie met een Internet Protocol Service Level Agreement (IP SLA) op een Cisco FTD die wordt beheerd door Cisco FMC. Met het ECMP kunt u interfaces groeperen op FTD-verkeer en taakverdeling over meerdere interfaces. IP SLA is een mechanisme dat end-to-end connectiviteit bewaakt door de uitwisseling van reguliere pakketten. Samen met ECMP kan IP SLA worden geïmplementeerd om de beschikbaarheid van de volgende hop te garanderen. In dit voorbeeld wordt ECMP gebruikt om pakketten gelijkelijk te verdelen over twee internetserviceproviders (ISP’s). Tegelijkertijd houdt een IP SLA de connectiviteit bij, waardoor een naadloze overgang naar beschikbare circuits in het geval van een storing wordt gegarandeerd.
Specifieke eisen voor dit document zijn onder meer:
In dit voorbeeld heeft Cisco FTD twee buiteninterfaces: buitenkant1 en buitenkant2 . Elke verbinding met een ISP-gateway, buitenkant1 en buitenkant2 behoren tot dezelfde ECMP-zone die buiten is genoemd.
Het verkeer van het interne netwerk wordt via FTD gerouteerd en wordt via de twee ISP’s gebalanceerd met de lading op internet.
Tegelijkertijd maakt FTD gebruik van IP SLA’s om de connectiviteit met elke ISP-gateway te bewaken. In het geval van een storing op een van de ISP-circuits, FTD-failovers naar de andere ISP-gateway om de bedrijfscontinuïteit te handhaven.
Log in de FMC web GUI, selecteer Apparaten>Apparaatbeheer en klik op de knop Bewerken voor uw bedreigingsverdediging apparaat. De pagina Interfaces is standaard geselecteerd. Klik op de knop Bewerken voor de interface die u wilt bewerken, in dit voorbeeld Gigabit Ethernet0/0.
In het venster Fysieke interface bewerken, onder het tabblad Algemeen:
Onder het tabblad IPv4:
Herhaal dezelfde stap om de interface Gigabit Ethernet0/1 te configureren in het venster Fysieke interface bewerken, onder het tabblad Algemeen:
Onder het tabblad IPv4:
Herhaal dezelfde stap om de interface Gigabit Ethernet0/2 te configureren in het venster Fysieke interface bewerken, onder het tabblad Algemeen:
Onder het tabblad IPv4:
Klik op Opslaan en de configuratie implementeren.
Navigeer naar objecten > Objectbeheer, kies Netwerk uit de lijst met objecttypes, kies Object toevoegen uit het vervolgkeuzemenu Netwerk toevoegen om een object te maken voor de eerste ISP-gateway.
In het venster Nieuwe netwerkobjecten:
Herhaal vergelijkbare stappen om een ander object voor een tweede ISP-gateway te maken. In het venster Nieuwe netwerkobjecten:
Navigeer naar Apparaten > Apparaatbeheer en bewerk het bedreigingsbeschermingsapparaat, klik op Routing. Selecteer in de vervolgkeuzelijst virtuele router de virtuele router waarin u de ECMP-zone wilt aanmaken. U kunt ECMP-zones maken in wereldwijde virtuele routers en door de gebruiker gedefinieerde virtuele routers. Kies in dit voorbeeld Global.
Klik op ECMP en vervolgens op Add.
In het venster Add ECMP:
Klik op Opslaan en de configuratie implementeren.
Navigeer naar objecten > Objectbeheer, kies SLA-monitor uit de lijst met objecttypes, klik op SLA-monitor toevoegen om een nieuwe SLA-monitor toe te voegen voor de eerste ISP-gateway.
In het venster Nieuwe SLA Monitor Object:
Herhaal soortgelijke stappen om een andere SLA-monitor voor de tweede ISP-gateway te maken.
In het venster Nieuwe SLA Monitor Object:
Navigeer naar Apparaten > Apparaatbeheer en bewerk het bedreigingsbeschermingsapparaat, klik op Routing, selecteer uit de vervolgkeuzelijst virtuele routers de virtuele router waarvoor u een statische route configureert. In dit voorbeeld Global.
Selecteer Statische Route, klik op Add Route om de standaardroute aan de eerste ISP-gateway toe te voegen.
In het venster Add Static Route Configuration:
Herhaal soortgelijke stappen om de standaardroute aan een tweede ISP-gateway toe te voegen. In het venster Add Static Route Configuration:
Klik op Opslaan en de configuratie implementeren.
Log in op de CLI van de FTD en voer de opdracht uit show zone om informatie over ECMP-verkeerszones te controleren, inclusief de interfaces die deel uitmaken van elke zone.
> show zone
Zone: Outside ecmp
Security-level: 0
Zone member(s): 2
Outside2 GigabitEthernet0/1
Outside1 GigabitEthernet0/0
Stel het bevel in werking show running-config route om de lopende configuratie de routerconfiguratie te controleren, in dit geval zijn er twee statische routes met routesporen.
> show running-config route
route Outside1 0.0.0.0 0.0.0.0 10.1.1.2 1 track 1
route Outside2 0.0.0.0 0.0.0.0 10.1.2.2 1 track 2
Stel het bevel in werking show route om de routeringstabel te controleren, in dit geval zijn er twee standaardroutes via de interface buitenkant1 en buitenkant2 met gelijke kosten, kan het verkeer tussen twee ISP kringen worden verdeeld.
> show route
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2, V - VPN
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
o - ODR, P - periodic downloaded static route, + - replicated route
SI - Static InterVRF, BI - BGP InterVRF
Gateway of last resort is 10.1.2.2 to network 0.0.0.0
S* 0.0.0.0 0.0.0.0 [1/0] via 10.1.2.2, Outside2
[1/0] via 10.1.1.2, Outside1
C 10.1.1.0 255.255.255.0 is directly connected, Outside1
L 10.1.1.1 255.255.255.255 is directly connected, Outside1
C 10.1.2.0 255.255.255.0 is directly connected, Outside2
L 10.1.2.1 255.255.255.255 is directly connected, Outside2
C 10.1.3.0 255.255.255.0 is directly connected, Inside
L 10.1.3.1 255.255.255.255 is directly connected, Inside
Voer de opdracht uit show sla monitor configuration om de configuratie van de SLA-monitor te controleren.
> show sla monitor configuration
SA Agent, Infrastructure Engine-II
Entry number: 1
Owner:
Tag:
Type of operation to perform: echo
Target address: 10.1.1.2
Interface: Outside1
Number of packets: 1
Request size (ARR data portion): 28
Operation timeout (milliseconds): 5000
Type Of Service parameters: 0x0
Verify data: No
Operation frequency (seconds): 60
Next Scheduled Start Time: Start Time already passed
Group Scheduled : FALSE
Life (seconds): Forever
Entry Ageout (seconds): never
Recurring (Starting Everyday): FALSE
Status of entry (SNMP RowStatus): Active
Enhanced History:
Entry number: 2
Owner:
Tag:
Type of operation to perform: echo
Target address: 10.1.2.2
Interface: Outside2
Number of packets: 1
Request size (ARR data portion): 28
Operation timeout (milliseconds): 5000
Type Of Service parameters: 0x0
Verify data: No
Operation frequency (seconds): 60
Next Scheduled Start Time: Start Time already passed
Group Scheduled : FALSE
Life (seconds): Forever
Entry Ageout (seconds): never
Recurring (Starting Everyday): FALSE
Status of entry (SNMP RowStatus): Active
Enhanced History:
Voer de opdracht show sla monitor operational-state uit om de status van de SLA-monitor te bevestigen. In dit geval kunt u vinden "Time-out voorkwam: FALSE" in de opdrachtoutput, het geeft aan dat de ICMP-echo naar de gateway reageert, zodat de standaardroute door doelinterface actief is en geïnstalleerd in routingtabel.
> show sla monitor operational-state
Entry number: 1
Modification time: 09:31:28.785 UTC Thu Feb 15 2024
Number of Octets Used by this Entry: 2056
Number of operations attempted: 82
Number of operations skipped: 0
Current seconds left in Life: Forever
Operational state of entry: Active
Last time this entry was reset: Never
Connection loss occurred: FALSE
Timeout occurred: FALSE
Over thresholds occurred: FALSE
Latest RTT (milliseconds): 1
Latest operation start time: 10:52:28.785 UTC Thu Feb 15 2024
Latest operation return code: OK
RTT Values:
RTTAvg: 1 RTTMin: 1 RTTMax: 1
NumOfRTT: 1 RTTSum: 1 RTTSum2: 1
Entry number: 2
Modification time: 09:31:28.785 UTC Thu Feb 15 2024
Number of Octets Used by this Entry: 2056
Number of operations attempted: 82
Number of operations skipped: 0
Current seconds left in Life: Forever
Operational state of entry: Active
Last time this entry was reset: Never
Connection loss occurred: FALSE
Timeout occurred: FALSE
Over thresholds occurred: FALSE
Latest RTT (milliseconds): 1
Latest operation start time: 10:52:28.785 UTC Thu Feb 15 2024
Latest operation return code: OK
RTT Values:
RTTAvg: 1 RTTMin: 1 RTTMax: 1
NumOfRTT: 1 RTTSum: 1 RTTSum2: 1
Taakverdeling
Aanvankelijk verkeer via FTD om te controleren of de ECMP-werklastverdeling gelijk is aan het verkeer tussen de gateways in de ECMP-zone. In dit geval, initieer Telnet verbinding van Inside-Host1 (10.1.3.2) en Inside-Host2 (10.1.3.4) naar Internet-Host (10.1.5.2), voer het commando uit show conn om te bevestigen dat het verkeer taakverdeling tussen twee ISP-koppelingen heeft: Inside-Host1 (10.1.3.2) gaat door een interface buiten1, Inside-Host2 (10.1.3.4) gaat door een interface buiten2.
> show conn
2 in use, 3 most used
Inspect Snort:
preserve-connection: 2 enabled, 0 in effect, 2 most enabled, 0 most in effect
TCP Inside 10.1.3.2:46069 Outside1 10.1.5.2:23, idle 0:00:24, bytes 1329, flags UIO N1
TCP Inside 10.1.3.4:61915 Outside2 10.1.5.2:23, idle 0:00:04, bytes 1329, flags UIO N1
Opmerking: het verkeer is taakverdeling tussen de gespecificeerde gateways op basis van een algoritme dat de bron- en bestemmingsIP-adressen, inkomende interface, protocol, bron- en bestemmingshavens blokkeert. Wanneer u de test uitvoert, kan het verkeer dat u simuleert naar dezelfde gateway worden gerouteerd vanwege het hashalgoritme, dit wordt verwacht, verandert elke waarde onder de 6 tuples (bron IP, bestemming IP, inkomende interface, protocol, bronpoort, bestemmingshaven) om het hashresultaat te wijzigen.
Verloren route
Als de verbinding met de eerste ISP Gateway is uitgeschakeld, moet u in dit geval de eerste te simuleren gatewayrouter uitschakelen. Als FTD geen echoantwoord van eerste ISP gateway binnen de drempeltijdopnemer ontvangt die in het voorwerp van de SLA Monitor wordt gespecificeerd, wordt de gastheer beschouwd als onbereikbaar en zoals neer gemarkeerd. De gevolgde route aan eerste gateway wordt ook verwijderd uit het verpletteren van lijst.
Voer de opdracht show sla monitor operational-state uit om de huidige status van de SLA-monitor te bevestigen. In dit geval kunt u "Time-out voorgekomen vinden: Waar" in de opdrachtoutput, het geeft aan dat de ICMP-echo naar de eerste ISP-gateway niet reageert.
> show sla monitor operational-state
Entry number: 1
Modification time: 09:31:28.783 UTC Thu Feb 15 2024
Number of Octets Used by this Entry: 2056
Number of operations attempted: 104
Number of operations skipped: 0
Current seconds left in Life: Forever
Operational state of entry: Active
Last time this entry was reset: Never
Connection loss occurred: FALSE
Timeout occurred: TRUE
Over thresholds occurred: FALSE
Latest RTT (milliseconds): NoConnection/Busy/Timeout
Latest operation start time: 11:14:28.813 UTC Thu Feb 15 2024
Latest operation return code: Timeout
RTT Values:
RTTAvg: 0 RTTMin: 0 RTTMax: 0
NumOfRTT: 0 RTTSum: 0 RTTSum2: 0
Entry number: 2
Modification time: 09:31:28.783 UTC Thu Feb 15 2024
Number of Octets Used by this Entry: 2056
Number of operations attempted: 104
Number of operations skipped: 0
Current seconds left in Life: Forever
Operational state of entry: Active
Last time this entry was reset: Never
Connection loss occurred: FALSE
Timeout occurred: FALSE
Over thresholds occurred: FALSE
Latest RTT (milliseconds): 1
Latest operation start time: 11:14:28.813 UTC Thu Feb 15 2024
Latest operation return code: OK
RTT Values:
RTTAvg: 1 RTTMin: 1 RTTMax: 1
NumOfRTT: 1 RTTSum: 1 RTTSum2: 1
Voer de opdracht uit show route om de huidige routeringstabel te controleren, de route naar de eerste ISP-gateway via interface buitenkant1 wordt verwijderd, er is slechts één actieve standaardroute naar de tweede ISP-gateway via interface buitenkant2.
> show route
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2, V - VPN
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
o - ODR, P - periodic downloaded static route, + - replicated route
SI - Static InterVRF, BI - BGP InterVRF
Gateway of last resort is 10.1.2.2 to network 0.0.0.0
S* 0.0.0.0 0.0.0.0 [1/0] via 10.1.2.2, Outside2
C 10.1.1.0 255.255.255.0 is directly connected, Outside1
L 10.1.1.1 255.255.255.255 is directly connected, Outside1
C 10.1.2.0 255.255.255.0 is directly connected, Outside2
L 10.1.2.1 255.255.255.255 is directly connected, Outside2
C 10.1.3.0 255.255.255.0 is directly connected, Inside
L 10.1.3.1 255.255.255.255 is directly connected, Inside
Start de opdracht show conn , u kunt zien dat de twee verbindingen nog steeds actief zijn. Telnet-sessies zijn ook actief op Inside-Host1 (10.1.3.2) en Inside-Host2 (10.1.3.4) zonder enige onderbreking.
> show conn
2 in use, 3 most used
Inspect Snort:
preserve-connection: 2 enabled, 0 in effect, 2 most enabled, 0 most in effect
TCP Inside 10.1.3.2:46069 Outside1 10.1.5.2:23, idle 0:00:22, bytes 1329, flags UIO N1
TCP Inside 10.1.3.4:61915 Outside2 10.1.5.2:23, idle 0:00:02, bytes 1329, flags UIO N1
Opmerking: in de uitvoer van show conn , telnet sessie van Inside-Host1 (10.1.3.2) is nog steeds via interface buitenkant1, hoewel de standaardroute door interface buitenkant1 is verwijderd uit de routeringstabel. Dit wordt verwacht en door ontwerp, het werkelijke verkeer stroomt door interface buitenkant2. Als u nieuwe verbinding van Inside-Host1 (10.1.3.2) naar Internet-Host (10.1.5.2) start, kunt u al het verkeer vinden via de interface buitenkant2.
Problemen oplossen
Om de routingstabel te bevestigen verander, stel bevel in werking debug ip routing.
In dit voorbeeld, wanneer de verbinding met eerste ISP gateway neer is, wordt de route door interface outdoor1 verwijderd uit het verpletteren van lijst.
> debug ip routing
IP routing debugging is on
RT: ip_route_delete 0.0.0.0 0.0.0.0 via 10.1.1.2, Outside1
ha_cluster_synced 0 routetype 0
RT: del 0.0.0.0 via 10.1.1.2, static metric [1/0]NP-route: Delete-Output 0.0.0.0/0 hop_count:1 , via 0.0.0.0, Outside1
RT(mgmt-only): NP-route: Update-Output 0.0.0.0/0 hop_count:1 , via 10.1.2.2, Outside2
NP-route: Update-Input 0.0.0.0/0 hop_count:1 Distance:1 Flags:0X0 , via 10.1.2.2, Outside2
Voer de opdracht show route uit om de huidige routertabel te bevestigen.
> show route
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2, V - VPN
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
o - ODR, P - periodic downloaded static route, + - replicated route
SI - Static InterVRF, BI - BGP InterVRF
Gateway of last resort is 10.1.2.2 to network 0.0.0.0
S* 0.0.0.0 0.0.0.0 [1/0] via 10.1.2.2, Outside2
C 10.1.1.0 255.255.255.0 is directly connected, Outside1
L 10.1.1.1 255.255.255.255 is directly connected, Outside1
C 10.1.2.0 255.255.255.0 is directly connected, Outside2
L 10.1.2.1 255.255.255.255 is directly connected, Outside2
C 10.1.3.0 255.255.255.0 is directly connected, Inside
L 10.1.3.1 255.255.255.255 is directly connected, Inside
Wanneer de verbinding met de eerste ISP gateway omhoog opnieuw is, wordt de route door interface external1 toegevoegd terug naar routingstabel.
> debug ip routing
IP routing debugging is on
NP-route: Update-Output 0.0.0.0/0 hop_count:1 , via 10.1.2.2, Outside2
NP-route: Update-Output 0.0.0.0/0 hop_count:1 , via 10.1.1.2, Outside2
NP-route: Update-Input 0.0.0.0/0 hop_count:2 Distance:1 Flags:0X0 , via 10.1.2.2, Outside2
via 10.1.1.2, Outside1
Voer de opdracht show route uit om de huidige routertabel te bevestigen.
> show route
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2, V - VPN
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
o - ODR, P - periodic downloaded static route, + - replicated route
SI - Static InterVRF, BI - BGP InterVRF
Gateway of last resort is 10.1.2.2 to network 0.0.0.0
S* 0.0.0.0 0.0.0.0 [1/0] via 10.1.2.2, Outside2
[1/0] via 10.1.1.2, Outside1
C 10.1.1.0 255.255.255.0 is directly connected, Outside1
L 10.1.1.1 255.255.255.255 is directly connected, Outside1
C 10.1.2.0 255.255.255.0 is directly connected, Outside2
L 10.1.2.1 255.255.255.255 is directly connected, Outside2
C 10.1.3.0 255.255.255.0 is directly connected, Inside
L 10.1.3.1 255.255.255.255 is directly connected, Inside
Revisie | Publicatiedatum | Opmerkingen |
---|---|---|
1.0 |
16-Feb-2024 |
Eerste vrijgave |