ECMP configureren met IP SLA op FTD beheerd door FMC

Downloadopties

  • PDF     (1.1 MB)
    Met Adobe Reader op diverse apparaten bekijken
  • ePub     (932.6 KB)
    Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
  • Mobi (Kindle)     (929.5 KB)
    Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken
Bijgewerkt:16 februari 2024
Document-id:221692

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

    Inleiding

    In dit document wordt beschreven hoe u de ECMP en IP SLA kunt configureren op een FTD die wordt beheerd door het VCC.

    Voorwaarden

    Vereisten

    Cisco raadt kennis van de volgende onderwerpen aan:

    • ECMP-configuratie op Cisco Secure Firewall Threat Defence (FTD)
    • IP SLA-configuratie op Cisco Secure Firewall Threat Defence (FTD)
    • Cisco Secure Firewall Management Center (FMC)

    Gebruikte componenten

    De informatie in dit document is gebaseerd op deze software- en hardwareversie:

    • Cisco FTD versie 7.4.1

    • Cisco FMC versie 7.4.1

    De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.

    Achtergrondinformatie

    In dit document wordt beschreven hoe u Equal-Cost Multi-Path (ECMP) kunt configureren in combinatie met een Internet Protocol Service Level Agreement (IP SLA) op een Cisco FTD die wordt beheerd door Cisco FMC. Met het ECMP kunt u interfaces groeperen op FTD-verkeer en taakverdeling over meerdere interfaces. IP SLA is een mechanisme dat end-to-end connectiviteit bewaakt door de uitwisseling van reguliere pakketten. Samen met ECMP kan IP SLA worden geïmplementeerd om de beschikbaarheid van de volgende hop te garanderen. In dit voorbeeld wordt ECMP gebruikt om pakketten gelijkelijk te verdelen over twee internetserviceproviders (ISP’s). Tegelijkertijd houdt een IP SLA de connectiviteit bij, waardoor een naadloze overgang naar beschikbare circuits in het geval van een storing wordt gegarandeerd.

    Specifieke eisen voor dit document zijn onder meer:

    • Toegang tot de apparaten met een gebruikersaccount met beheerdersrechten
    • Cisco Secure Firewall Threat Defense versie 7.1 of hoger
    • Cisco Secure Firewall Management Center versie 7.1 of hoger

    Configureren

    Netwerkdiagram

    In dit voorbeeld heeft Cisco FTD twee buiteninterfaces: buitenkant1 en buitenkant2 . Elke verbinding met een ISP-gateway, buitenkant1 en buitenkant2 behoren tot dezelfde ECMP-zone die buiten is genoemd.

    Het verkeer van het interne netwerk wordt via FTD gerouteerd en wordt via de twee ISP’s gebalanceerd met de lading op internet.

    Tegelijkertijd maakt FTD gebruik van IP SLA’s om de connectiviteit met elke ISP-gateway te bewaken. In het geval van een storing op een van de ISP-circuits, FTD-failovers naar de andere ISP-gateway om de bedrijfscontinuïteit te handhaven.

    NetwerkdiagramNetwerkdiagram

    Configuraties

    Stap 0. Interfaces/netwerkobjecten vooraf configureren

    Log in de FMC web GUI, selecteer Apparaten>Apparaatbeheer en klik op de knop Bewerken voor uw bedreigingsverdediging apparaat. De pagina Interfaces is standaard geselecteerd. Klik op de knop Bewerken voor de interface die u wilt bewerken, in dit voorbeeld Gigabit Ethernet0/0.

    Interface Gi0/0 bewerkenInterface Gi0/0 bewerken

    In het venster Fysieke interface bewerken, onder het tabblad Algemeen:

    1. Stel de naam in, in dit geval Buiten1.
    2. Schakel de interface in door het aanvinkvakje Ingeschakeld in te schakelen.
    3. Selecteer in de vervolgkeuzelijst Security Zone een bestaande Security Zone of maak een nieuwe Security Zone, in dit voorbeeld Outside1_Zone.

    Algemene interface Gi0/0Algemene interface Gi0/0

    Onder het tabblad IPv4:

    1. Kies een van de opties uit de vervolgkeuzelijst IP-type in dit voorbeeld Statische IP gebruiken.
    2. Stel het IP-adres in dit voorbeeld in 10.1.1.1/24.
    3. Klik op OK.

    Interface Gi0/20 IPv4Interface Gi0/20 IPv4

    Herhaal dezelfde stap om de interface Gigabit Ethernet0/1 te configureren in het venster Fysieke interface bewerken, onder het tabblad Algemeen:

    1. Stel de naam in, in dit geval Outside2.
    2. Schakel de interface in door het aanvinkvakje Ingeschakeld in te schakelen.
    3. Selecteer in de vervolgkeuzelijst Security Zone een bestaande Security Zone of maak een nieuwe Security Zone, in dit voorbeeld Outside2_Zone.

    Interface Gi0/1 algemeenInterface Gi0/1 algemeen

    Onder het tabblad IPv4:

    1. Kies een van de opties uit de vervolgkeuzelijst IP-type in dit voorbeeld Statische IP gebruiken.
    2. Stel het IP-adres in dit voorbeeld in 10.1.2.1/24.
    3. Klik op OK.
      Interface Gi0/1 IPv4Interface Gi0/1 IPv4

    Herhaal dezelfde stap om de interface Gigabit Ethernet0/2 te configureren in het venster Fysieke interface bewerken, onder het tabblad Algemeen:

    1. Stel de naam in, in dit geval Inside.
    2. Schakel de interface in door het aanvinkvakje Ingeschakeld in te schakelen.
    3. Selecteer in de vervolgkeuzelijst Security Zone een bestaande Security Zone of maak een nieuwe Security Zone, in dit voorbeeld Inside_Zone.

    Interface Gi0/2 algemeenInterface Gi0/2 algemeen

    Onder het tabblad IPv4:

    1. Kies een van de opties uit de vervolgkeuzelijst IP-type in dit voorbeeld Statische IP gebruiken.
    2. Stel het IP-adres in dit voorbeeld in 10.1.3.1/24.
    3. Klik op OK.

    Interface Gi0/2 IPv4Interface Gi0/2 IPv4

    Klik op Opslaan en de configuratie implementeren.

    Navigeer naar objecten > Objectbeheer, kies Netwerk uit de lijst met objecttypes, kies Object toevoegen uit het vervolgkeuzemenu Netwerk toevoegen om een object te maken voor de eerste ISP-gateway.

    NetwerkobjectNetwerkobject

    In het venster Nieuwe netwerkobjecten:

    1. Stel de naam in dit voorbeeld gw-outdoor1 in.
    2. Selecteer in het veld Network de gewenste optie en voer een juiste waarde in, in dit voorbeeld Host en 10.1.1.2.
    3. Klik op Save (Opslaan).

    Voorwerp GW-buiten1Voorwerp GW-buiten1

    Herhaal vergelijkbare stappen om een ander object voor een tweede ISP-gateway te maken. In het venster Nieuwe netwerkobjecten:

    1. Stel de naam in dit voorbeeld gw-outdoor2 in.
    2. Selecteer in het veld Network de gewenste optie en voer een juiste waarde in, in dit voorbeeld Host en 10.1.2.2.
    3. Klik op Save (Opslaan).

    Object Gw-buitenkant2Object Gw-buitenkant2

    Stap 1. ECMP-zone configureren

    Navigeer naar Apparaten > Apparaatbeheer en bewerk het bedreigingsbeschermingsapparaat, klik op Routing. Selecteer in de vervolgkeuzelijst virtuele router de virtuele router waarin u de ECMP-zone wilt aanmaken. U kunt ECMP-zones maken in wereldwijde virtuele routers en door de gebruiker gedefinieerde virtuele routers. Kies in dit voorbeeld Global

    Klik op ECMP en vervolgens op Add.

    ECMP-zone configurerenECMP-zone configureren

    In het venster Add ECMP:

    1. Stel Naam in voor ECMP zone, in dit voorbeeld Buiten.
    2. Om interfaces te associëren selecteert u de interface onder het vak Beschikbare interfaces en vervolgens klikt u op Toevoegen. In dit voorbeeld Outside1 en Outside2.
    3. Klik op OK.

    ECMP-zone buiten configurerenECMP-zone buiten configureren

    Klik op Opslaan en de configuratie implementeren.

    Stap 2. IP SLA-objecten configureren

    Navigeer naar objecten > Objectbeheer, kies SLA-monitor uit de lijst met objecttypes, klik op SLA-monitor toevoegen om een nieuwe SLA-monitor toe te voegen voor de eerste ISP-gateway.

    SLA-monitor makenSLA-monitor maken

    In het venster Nieuwe SLA Monitor Object:

    1. Stel de naam voor het SLA-monitorobject in, in dit geval sla-external1.
    2. Voer het ID-nummer van de SLA-handeling in het veld SLA Monitor ID in. Waarden variëren van 1 tot 2147483647. U kunt maximaal 2000 SLA-bewerkingen op een apparaat maken. Elk ID-nummer moet uniek zijn voor het beleid en de apparaatconfiguratie. In dit voorbeeld 1.
    3. Voer het IP-adres in dat voor beschikbaarheid wordt bewaakt door de SLA-handeling in het veld Gemonitord adres. In dit voorbeeld 10.1.1.2.
    4. De lijst Beschikbare zones/interfaces geeft zowel zones als interfacegroepen weer. In de lijst met zones/interfaces kunt u de zones of interfacegroepen toevoegen die de interfaces bevatten waarmee het apparaat communiceert met het beheerstation. Om één enkele interface te specificeren, moet u een zone of de interfacegroepen voor de interface creëren. In dit voorbeeld Outside1_Zone.
    5. Klik op Save (Opslaan).

    SLA-object SLA-buitenkant1SLA-object SLA-buitenkant1

    Herhaal soortgelijke stappen om een andere SLA-monitor voor de tweede ISP-gateway te maken.

    In het venster Nieuwe SLA Monitor Object:

    1. Stel de naam voor het SLA-monitorobject in, in dit geval sla-external2.
    2. Voer het ID-nummer van de SLA-handeling in het veld SLA Monitor ID in. Waarden variëren van 1 tot 2147483647. U kunt maximaal 2000 SLA-bewerkingen op een apparaat maken. Elk ID-nummer moet uniek zijn voor het beleid en de apparaatconfiguratie. In dit voorbeeld 2.
    3. Voer het IP-adres in dat voor beschikbaarheid wordt bewaakt door de SLA-handeling in het veld Gemonitord adres. In dit voorbeeld 10.1.2.2.
    4. De lijst Beschikbare zones/interfaces geeft zowel zones als interfacegroepen weer. In de lijst met zones/interfaces kunt u de zones of interfacegroepen toevoegen die de interfaces bevatten waarmee het apparaat communiceert met het beheerstation. Om één enkele interface te specificeren, moet u een zone of de interfacegroepen voor de interface creëren. In dit voorbeeld Outside2_Zone.
    5. Klik op Save (Opslaan).

    SLA-object SLA-buitenkant2SLA-object SLA-buitenkant2

    Stap 3. Configureer statische routes met routespoor

    Navigeer naar Apparaten > Apparaatbeheer en bewerk het bedreigingsbeschermingsapparaat, klik op Routing, selecteer uit de vervolgkeuzelijst virtuele routers de virtuele router waarvoor u een statische route configureert. In dit voorbeeld Global.

    Selecteer Statische Route, klik op Add Route om de standaardroute aan de eerste ISP-gateway toe te voegen.

    Statische route configurerenStatische route configureren

    In het venster Add Static Route Configuration:

    1. Klik op IPv4 of IPv6 afhankelijk van het type statische route dat u toevoegt. In dit voorbeeld IPv4.
    2. Kies de interface waarop deze statische route van toepassing is. In dit voorbeeld Outside1.
    3. Kies in de lijst Beschikbare netwerken het doelnetwerk. In dit voorbeeld any-ipv4.
    4. Voer in het veld Gateway of IPv6 Gateway de gatewayrouter in of kies deze die de volgende hop voor deze route is. U kunt een IP-adres of een Netwerken/Hosts-object opgeven. In dit voorbeeld gw-outdoor1.
    5. Voer in het veld Metriek het aantal hop in naar het doelnetwerk. Geldige waarden variëren van 1 tot 255; de standaardwaarde is 1. In dit voorbeeld 1.
    6. Om routebeschikbaarheid te controleren, voer of kies de naam van een SLA Monitor-object dat het monitoringbeleid definieert, in het veld Route Tracking. In dit voorbeeld sla-outside1.
    7. Klik op OK.

    Voeg eerst statische route-ISP toeVoeg eerst statische route-ISP toe

    Herhaal soortgelijke stappen om de standaardroute aan een tweede ISP-gateway toe te voegen. In het venster Add Static Route Configuration:

    1. Klik op IPv4 of IPv6 afhankelijk van het type statische route dat u toevoegt. In dit voorbeeld IPv4.
    2. Kies de interface waarop deze statische route van toepassing is. In dit voorbeeld Outside2.
    3. Kies in de lijst Beschikbare netwerken het doelnetwerk. In dit voorbeeld any-ipv4.
    4. Voer in het veld Gateway of IPv6 Gateway de gatewayrouter in of kies deze die de volgende hop voor deze route is. U kunt een IP-adres of een Netwerken/Hosts-object opgeven. In dit voorbeeld gw-outdoor2.
    5. Voer in het veld Metriek het aantal hop in naar het doelnetwerk. Geldige waarden variëren van 1 tot 255; de standaardwaarde is 1. Zorg ervoor dat u dezelfde metriek opgeeft als de eerste route, in dit voorbeeld 1.
    6. Om routebeschikbaarheid te controleren, voer of kies de naam van een SLA Monitor-object dat het monitoringbeleid definieert, in het veld Route Tracking. In dit voorbeeld sla-outdoor2.
    7. Klik op OK.

    Statische route tweede ISP toevoegenStatische route tweede ISP toevoegen

    Klik op Opslaan en de configuratie implementeren.

    Verifiëren

    Log in op de CLI van de FTD en voer de opdracht uit show zone  om informatie over ECMP-verkeerszones te controleren, inclusief de interfaces die deel uitmaken van elke zone.

    > show zone
    Zone: Outside ecmp
    Security-level: 0
    Zone member(s): 2
    Outside2 GigabitEthernet0/1
    Outside1 GigabitEthernet0/0

    Stel het bevel in werking show running-config route om de lopende configuratie de routerconfiguratie te controleren, in dit geval zijn er twee statische routes met routesporen.

    > show running-config route
    route Outside1 0.0.0.0 0.0.0.0 10.1.1.2 1 track 1
    route Outside2 0.0.0.0 0.0.0.0 10.1.2.2 1 track 2

    Stel het bevel in werking show route om de routeringstabel te controleren, in dit geval zijn er twee standaardroutes via de interface buitenkant1 en buitenkant2 met gelijke kosten, kan het verkeer tussen twee ISP kringen worden verdeeld.

    > show route

    Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
    D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area 
    N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
    E1 - OSPF external type 1, E2 - OSPF external type 2, V - VPN
    i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
    ia - IS-IS inter area, * - candidate default, U - per-user static route
    o - ODR, P - periodic downloaded static route, + - replicated route
    SI - Static InterVRF, BI - BGP InterVRF
    Gateway of last resort is 10.1.2.2 to network 0.0.0.0

    S* 0.0.0.0 0.0.0.0 [1/0] via 10.1.2.2, Outside2
                       [1/0] via 10.1.1.2, Outside1
    C 10.1.1.0 255.255.255.0 is directly connected, Outside1
    L 10.1.1.1 255.255.255.255 is directly connected, Outside1
    C 10.1.2.0 255.255.255.0 is directly connected, Outside2
    L 10.1.2.1 255.255.255.255 is directly connected, Outside2
    C 10.1.3.0 255.255.255.0 is directly connected, Inside
    L 10.1.3.1 255.255.255.255 is directly connected, Inside

    Voer de opdracht uit show sla monitor configuration  om de configuratie van de SLA-monitor te controleren.

    > show sla monitor configuration
    SA Agent, Infrastructure Engine-II
    Entry number: 1
    Owner: 
    Tag: 
    Type of operation to perform: echo
    Target address: 10.1.1.2
    Interface: Outside1
    Number of packets: 1
    Request size (ARR data portion): 28
    Operation timeout (milliseconds): 5000
    Type Of Service parameters: 0x0
    Verify data: No
    Operation frequency (seconds): 60
    Next Scheduled Start Time: Start Time already passed
    Group Scheduled : FALSE
    Life (seconds): Forever
    Entry Ageout (seconds): never
    Recurring (Starting Everyday): FALSE
    Status of entry (SNMP RowStatus): Active
    Enhanced History:

    Entry number: 2
    Owner: 
    Tag: 
    Type of operation to perform: echo
    Target address: 10.1.2.2
    Interface: Outside2
    Number of packets: 1
    Request size (ARR data portion): 28
    Operation timeout (milliseconds): 5000
    Type Of Service parameters: 0x0
    Verify data: No
    Operation frequency (seconds): 60
    Next Scheduled Start Time: Start Time already passed
    Group Scheduled : FALSE
    Life (seconds): Forever
    Entry Ageout (seconds): never
    Recurring (Starting Everyday): FALSE
    Status of entry (SNMP RowStatus): Active
    Enhanced History:

    Voer de opdracht show sla monitor operational-state uit om de status van de SLA-monitor te bevestigen. In dit geval kunt u vinden "Time-out voorkwam: FALSE" in de opdrachtoutput, het geeft aan dat de ICMP-echo naar de gateway reageert, zodat de standaardroute door doelinterface actief is en geïnstalleerd in routingtabel.

    > show sla monitor operational-state
    Entry number: 1
    Modification time: 09:31:28.785 UTC Thu Feb 15 2024
    Number of Octets Used by this Entry: 2056
    Number of operations attempted: 82
    Number of operations skipped: 0
    Current seconds left in Life: Forever
    Operational state of entry: Active
    Last time this entry was reset: Never
    Connection loss occurred: FALSE
    Timeout occurred: FALSE
    Over thresholds occurred: FALSE
    Latest RTT (milliseconds): 1
    Latest operation start time: 10:52:28.785 UTC Thu Feb 15 2024
    Latest operation return code: OK
    RTT Values:
    RTTAvg: 1 RTTMin: 1 RTTMax: 1
    NumOfRTT: 1 RTTSum: 1 RTTSum2: 1

    Entry number: 2
    Modification time: 09:31:28.785 UTC Thu Feb 15 2024
    Number of Octets Used by this Entry: 2056
    Number of operations attempted: 82
    Number of operations skipped: 0
    Current seconds left in Life: Forever
    Operational state of entry: Active
    Last time this entry was reset: Never
    Connection loss occurred: FALSE
    Timeout occurred: FALSE
    Over thresholds occurred: FALSE
    Latest RTT (milliseconds): 1
    Latest operation start time: 10:52:28.785 UTC Thu Feb 15 2024
    Latest operation return code: OK
    RTT Values:
    RTTAvg: 1 RTTMin: 1 RTTMax: 1
    NumOfRTT: 1 RTTSum: 1 RTTSum2: 1

    Taakverdeling

    Aanvankelijk verkeer via FTD om te controleren of de ECMP-werklastverdeling gelijk is aan het verkeer tussen de gateways in de ECMP-zone. In dit geval, initieer Telnet verbinding van Inside-Host1 (10.1.3.2) en Inside-Host2 (10.1.3.4) naar Internet-Host (10.1.5.2), voer het commando uit show conn  om te bevestigen dat het verkeer taakverdeling tussen twee ISP-koppelingen heeft: Inside-Host1 (10.1.3.2) gaat door een interface buiten1, Inside-Host2 (10.1.3.4) gaat door een interface buiten2.

    > show conn
    2 in use, 3 most used
    Inspect Snort:
    preserve-connection: 2 enabled, 0 in effect, 2 most enabled, 0 most in effect

    TCP Inside 10.1.3.2:46069 Outside1 10.1.5.2:23, idle 0:00:24, bytes 1329, flags UIO N1
    TCP Inside 10.1.3.4:61915 Outside2 10.1.5.2:23, idle 0:00:04, bytes 1329, flags UIO N1
    pictogram van opmerking

    Opmerking: het verkeer is taakverdeling tussen de gespecificeerde gateways op basis van een algoritme dat de bron- en bestemmingsIP-adressen, inkomende interface, protocol, bron- en bestemmingshavens blokkeert. Wanneer u de test uitvoert, kan het verkeer dat u simuleert naar dezelfde gateway worden gerouteerd vanwege het hashalgoritme, dit wordt verwacht, verandert elke waarde onder de 6 tuples (bron IP, bestemming IP, inkomende interface, protocol, bronpoort, bestemmingshaven) om het hashresultaat te wijzigen.

    Verloren route

    Als de verbinding met de eerste ISP Gateway is uitgeschakeld, moet u in dit geval de eerste te simuleren gatewayrouter uitschakelen. Als FTD geen echoantwoord van eerste ISP gateway binnen de drempeltijdopnemer ontvangt die in het voorwerp van de SLA Monitor wordt gespecificeerd, wordt de gastheer beschouwd als onbereikbaar en zoals neer gemarkeerd. De gevolgde route aan eerste gateway wordt ook verwijderd uit het verpletteren van lijst.

    Voer de opdracht show sla monitor operational-state uit om de huidige status van de SLA-monitor te bevestigen. In dit geval kunt u "Time-out voorgekomen vinden: Waar" in de opdrachtoutput, het geeft aan dat de ICMP-echo naar de eerste ISP-gateway niet reageert.

    > show sla monitor operational-state
    Entry number: 1
    Modification time: 09:31:28.783 UTC Thu Feb 15 2024
    Number of Octets Used by this Entry: 2056
    Number of operations attempted: 104
    Number of operations skipped: 0
    Current seconds left in Life: Forever
    Operational state of entry: Active
    Last time this entry was reset: Never
    Connection loss occurred: FALSE
    Timeout occurred: TRUE
    Over thresholds occurred: FALSE
    Latest RTT (milliseconds): NoConnection/Busy/Timeout
    Latest operation start time: 11:14:28.813 UTC Thu Feb 15 2024
    Latest operation return code: Timeout
    RTT Values:
    RTTAvg: 0 RTTMin: 0 RTTMax: 0
    NumOfRTT: 0 RTTSum: 0 RTTSum2: 0

    Entry number: 2
    Modification time: 09:31:28.783 UTC Thu Feb 15 2024
    Number of Octets Used by this Entry: 2056
    Number of operations attempted: 104
    Number of operations skipped: 0
    Current seconds left in Life: Forever
    Operational state of entry: Active
    Last time this entry was reset: Never
    Connection loss occurred: FALSE
    Timeout occurred: FALSE
    Over thresholds occurred: FALSE
    Latest RTT (milliseconds): 1
    Latest operation start time: 11:14:28.813 UTC Thu Feb 15 2024
    Latest operation return code: OK
    RTT Values:
    RTTAvg: 1 RTTMin: 1 RTTMax: 1
    NumOfRTT: 1 RTTSum: 1 RTTSum2: 1

    Voer de opdracht uit show route  om de huidige routeringstabel te controleren, de route naar de eerste ISP-gateway via interface buitenkant1 wordt verwijderd, er is slechts één actieve standaardroute naar de tweede ISP-gateway via interface buitenkant2.

    > show route

    Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
    D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area 
    N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
    E1 - OSPF external type 1, E2 - OSPF external type 2, V - VPN
    i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
    ia - IS-IS inter area, * - candidate default, U - per-user static route
    o - ODR, P - periodic downloaded static route, + - replicated route
    SI - Static InterVRF, BI - BGP InterVRF
    Gateway of last resort is 10.1.2.2 to network 0.0.0.0

    S* 0.0.0.0 0.0.0.0 [1/0] via 10.1.2.2, Outside2
    C 10.1.1.0 255.255.255.0 is directly connected, Outside1
    L 10.1.1.1 255.255.255.255 is directly connected, Outside1
    C 10.1.2.0 255.255.255.0 is directly connected, Outside2
    L 10.1.2.1 255.255.255.255 is directly connected, Outside2
    C 10.1.3.0 255.255.255.0 is directly connected, Inside
    L 10.1.3.1 255.255.255.255 is directly connected, Inside

    Start de opdracht show conn , u kunt zien dat de twee verbindingen nog steeds actief zijn. Telnet-sessies zijn ook actief op Inside-Host1 (10.1.3.2) en Inside-Host2 (10.1.3.4) zonder enige onderbreking.

    > show conn
    2 in use, 3 most used
    Inspect Snort:
    preserve-connection: 2 enabled, 0 in effect, 2 most enabled, 0 most in effect

    TCP Inside 10.1.3.2:46069 Outside1 10.1.5.2:23, idle 0:00:22, bytes 1329, flags UIO N1
    TCP Inside 10.1.3.4:61915 Outside2 10.1.5.2:23, idle 0:00:02, bytes 1329, flags UIO N1
    pictogram van opmerking

    Opmerking: in de uitvoer van show conn , telnet sessie van Inside-Host1 (10.1.3.2) is nog steeds via interface buitenkant1, hoewel de standaardroute door interface buitenkant1 is verwijderd uit de routeringstabel. Dit wordt verwacht en door ontwerp, het werkelijke verkeer stroomt door interface buitenkant2. Als u nieuwe verbinding van Inside-Host1 (10.1.3.2) naar Internet-Host (10.1.5.2) start, kunt u al het verkeer vinden via de interface buitenkant2.

    Problemen oplossen

    Om de routingstabel te bevestigen verander, stel bevel in werking debug ip routing.

    In dit voorbeeld, wanneer de verbinding met eerste ISP gateway neer is, wordt de route door interface outdoor1 verwijderd uit het verpletteren van lijst.

    > debug ip routing
    IP routing debugging is on

    RT: ip_route_delete 0.0.0.0 0.0.0.0 via 10.1.1.2, Outside1
    ha_cluster_synced 0 routetype 0

    RT: del 0.0.0.0 via 10.1.1.2, static metric [1/0]NP-route: Delete-Output 0.0.0.0/0 hop_count:1 , via 0.0.0.0, Outside1

    RT(mgmt-only): NP-route: Update-Output 0.0.0.0/0 hop_count:1 , via 10.1.2.2, Outside2

    NP-route: Update-Input 0.0.0.0/0 hop_count:1 Distance:1 Flags:0X0 , via 10.1.2.2, Outside2

    Voer de opdracht show route uit om de huidige routertabel te bevestigen.

    > show route

    Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
    D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area 
    N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
    E1 - OSPF external type 1, E2 - OSPF external type 2, V - VPN
    i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
    ia - IS-IS inter area, * - candidate default, U - per-user static route
    o - ODR, P - periodic downloaded static route, + - replicated route
    SI - Static InterVRF, BI - BGP InterVRF
    Gateway of last resort is 10.1.2.2 to network 0.0.0.0

    S* 0.0.0.0 0.0.0.0 [1/0] via 10.1.2.2, Outside2
    C 10.1.1.0 255.255.255.0 is directly connected, Outside1
    L 10.1.1.1 255.255.255.255 is directly connected, Outside1
    C 10.1.2.0 255.255.255.0 is directly connected, Outside2
    L 10.1.2.1 255.255.255.255 is directly connected, Outside2
    C 10.1.3.0 255.255.255.0 is directly connected, Inside
    L 10.1.3.1 255.255.255.255 is directly connected, Inside

    Wanneer de verbinding met de eerste ISP gateway omhoog opnieuw is, wordt de route door interface external1 toegevoegd terug naar routingstabel.

    > debug ip routing
    IP routing debugging is on
    NP-route: Update-Output 0.0.0.0/0 hop_count:1 , via 10.1.2.2, Outside2
    NP-route: Update-Output 0.0.0.0/0 hop_count:1 , via 10.1.1.2, Outside2
    NP-route: Update-Input 0.0.0.0/0 hop_count:2 Distance:1 Flags:0X0 , via 10.1.2.2, Outside2
     via 10.1.1.2, Outside1

    Voer de opdracht show route uit om de huidige routertabel te bevestigen.

    > show route

    Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
    D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area 
    N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
    E1 - OSPF external type 1, E2 - OSPF external type 2, V - VPN
    i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
    ia - IS-IS inter area, * - candidate default, U - per-user static route
    o - ODR, P - periodic downloaded static route, + - replicated route
    SI - Static InterVRF, BI - BGP InterVRF
    Gateway of last resort is 10.1.2.2 to network 0.0.0.0

    S* 0.0.0.0 0.0.0.0 [1/0] via 10.1.2.2, Outside2
                       [1/0] via 10.1.1.2, Outside1
    C 10.1.1.0 255.255.255.0 is directly connected, Outside1
    L 10.1.1.1 255.255.255.255 is directly connected, Outside1
    C 10.1.2.0 255.255.255.0 is directly connected, Outside2
    L 10.1.2.1 255.255.255.255 is directly connected, Outside2
    C 10.1.3.0 255.255.255.0 is directly connected, Inside
    L 10.1.3.1 255.255.255.255 is directly connected, Inside

    Revisiegeschiedenis

    Revisie Publicatiedatum Opmerkingen
    1.0
    16-Feb-2024
    Eerste vrijgave
    TAC Authored

    Bijgedragen door Cisco-engineers

    • Chao Feng

    Was dit document nuttig?

    FeedbackFeedback

    Contact Cisco

    Dit document is van toepassing op deze producten