ASA IP SLA

[m0ps]

решили сделать резервный канал в инет на асе. основной канал - adsl безлимит, резервный - выделенка помегабайтная. для adsl default шлюз выдается через pppoe. куски конфигов асы ниже
основной outside интерфейс:

Код: Выделить всё

interface Ethernet0/0
 description OutSide ADSL PPPoE link
 nameif outside
 security-level 0
 pppoe client vpdn group pppoe-adsl
 pppoe client route track 1
 ip address pppoe setroute

резервный outside интерфейс:

Код: Выделить всё

interface Ethernet0/1
 description Backup Outside LL
 nameif backup
 security-level 0
 ip address yyy.yyy.yyy.yyy 255.255.255.224

sla монитор:

Код: Выделить всё

sla monitor 1 
 type echo protocol ipIcmpEcho 195.5.46.19 interface outside
 num-packets 3
 frequency 10

"расписание" работы sla монитора:

Код: Выделить всё

sla monitor schedule 1 life forever start-time now

привязка трека к основному каналу:

Код: Выделить всё

track 1 rtr 1 reachability

резервный основной шлюз:

Код: Выделить всё

route backup 0.0.0.0 0.0.0.0 xxx.xxx.xxx.xxx 254

проблема в том, что основной канал всегда считается упавшим, аса пытается работать через резервный...

Код: Выделить всё

asa5510# show sla monitor operational-state
Entry number: 1
Modification time: 16:41:21.921 KIEV Mon Jul 13 2009
Number of Octets Used by this Entry: 1480
Number of operations attempted: 1
Number of operations skipped: 0
Current seconds left in Life: Forever
Operational state of entry: Active
Last time this entry was reset: Never
Connection loss occurred: FALSE
Timeout occurred: TRUE
Over thresholds occurred: FALSE
Latest RTT (milliseconds): NoConnection/Busy/Timeout
Latest operation start time: 16:41:21.925 KIEV Mon Jul 13 2009
Latest operation return code: Timeout
RTT Values:
RTTAvg: 0       RTTMin: 0       RTTMax: 0
NumOfRTT: 0     RTTSum: 0       RTTSum2: 0

Код: Выделить всё

asa5510# show sla monitor configuration
SA Agent, Infrastructure Engine-II
Entry number: 1
Owner:
Tag:
Type of operation to perform: echo
Target address: 195.5.46.19
Interface: outside
Number of packets: 1
Request size (ARR data portion): 28
Operation timeout (milliseconds): 5000
Type Of Service parameters: 0x0
Verify data: No
Operation frequency (seconds): 60
Next Scheduled Start Time: Start Time already passed
Group Scheduled : FALSE
Life (seconds): Forever
Entry Ageout (seconds): never
Recurring (Starting Everyday): FALSE
Status of entry (SNMP RowStatus): Active
Enhanced History:

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[m0ps]

убрал из конфига sla monitor 1. теперь получается следующая ситуация:
если выдернуть шнурок основного канала - идет переключение на резервный, если втыкнуть обратно - переключаемся на основной, но если просто из модема выдернуть dsl линию - нефига не происходит (маршрут остается прежним). если выключить модем - переключаемся на резервный канал, включаю - моментально переходим на основной, хотя сам модем до конца не успел загрузиться (не говоря уже о том, что asa не успел поднять pppoe)

[DenisKh]

Если еще актуально тогда
http://cisco.com/en/US/products/hw/vpnd ... 880b.shtml

[DenisKh]

Похоже мануал на cisco.com не внес ясности
Такая же проблема как и у топикстартера.. В случае падения основного канала asa переключается на резервный но как только основной канал поднимается возврат на него не происходит. Может кто решил данную проблему ?
Настройка ip sla такая же как и у топикстартера

[m0ps]

я тоже пока не решил эту проблему, если найдешь решение - свистни...

[DenisKh]

Я просто уже стал сомневаться что она должна обратно переключаться

[DenisKh]

Решил этот косяк
Отключи если у тебя на внешнем интерфейсе (если включен) ip verify reverse-path и все заработает..Просто это пояснение я и раньше на циске видел,но думал что если sla пингует внешний узел то мониторинг работает..а тут вон оно как..

[m0ps]

спасибо, завтра проверю

[DenisKh]

Потом тогда расскажешь как и что..
Офтоп.
Кстати если вдруг ты используешь иос asa821-k8.bin,у тебя с ним косяков с wccp небыло ?

[m0ps]

Потом тогда расскажешь как и что..
Офтоп.
Кстати если вдруг ты используешь иос asa821-k8.bin,у тебя с ним косяков с wccp небыло ?

у мну asa804-k8.bin, да и wccp не используем

[zingel]

выложите конфиг (чтобы был если такой вопрос возникнет), саму реализацию, не повредит многим

[DenisKh]

Настройка резервного канала ISP на Cisco ASA 5510 с помощью SLA (Service Level Agreement).
Определяем интерфейсы

Код: Выделить всё

interface Ethernet0/0
 description --Primary ISP--
 speed 100
 duplex full
 nameif outside
 security-level 0
 ip address primary_isp 255.255.255.240 
!             
interface Ethernet0/1
 description --Backup ISP--
 speed 100
 duplex full
 nameif outside_adsl
 security-level 0
 ip address backup_isp 255.255.255.248

Разрешаем icmp пакеты на узел который будет показателем то что канал работает.

Код: Выделить всё

icmp permit host www.anysite.example primary
icmp deny any primary

Определяем nat для Primary и Backup

Код: Выделить всё

global (primary) 1 interface
global (backup) 1 interface

Указываем настройки шлюза,резервному каналу делаем большую метрику

Код: Выделить всё

route primary 0.0.0.0 0.0.0.0 10.10.10.1 1 track 1
route backup 0.0.0.0 0.0.0.0 12.12.12.12 5

Настраиваем SLA мониторинг.Задаем число пакетов и частоту с которой опрашивается хост.Опрос хоста идет через интерфейс который смотрит на основного провайдера.

Код: Выделить всё

sla monitor 1
 type echo protocol ipIcmpEcho www.anysite.example interface primary
 num-packets 10
 frequency 120

Запускаем это задание.

Код: Выделить всё

sla monitor schedule 1 life forever start-time now

Прописываем трек который привязан к нашему основному каналу.Его функция заключается в том что после восстановления основного канала идет переключение с резервного.

Код: Выделить всё

track 1 rtr 1 reachability

Если на основном внешнем интерфейсе включен ip verify reverse-path,то мониторинг работать не будет.Т/е в случае падения основного канал циска переключит все на резервный но когда основной канал заработает sla monitor будет показывать что канал не доступен.
Рекомендуется отключить эту функцию.После отключения ip verify reverse-path,все должно заработать.

[m0ps]

DenisKh,
проверил, действительно заработало...
я как-то летом занимался, потом был в отпуске и забил... сейчас наконец довел до ума спасибо...

[zingel]

Код: Выделить всё

ip sla

[m0ps]

выложите конфиг (чтобы был если такой вопрос возникнет), саму реализацию, не повредит многим

конфиг вверху... только стоит еще выключить ip verify reverse-path
(no ip verify reverse-path <interface_name>)

[zingel]

шикарно

[DenisKh]

Рад что помог
Оформил в виде примера если кому потребуется .

[m0ps]

на сайте бы запостил и заодно добавь вариант, когда один(оба) из каналов adsl

[DenisKh]

А там вроде как без разницы какой канал ...ADSL или там просто к тебе Ethernet приходит из стенки
Данной реализации мне кажется фиолетово с чем работать.Я бы статью добавил,только не знаю как. Буду признателен если кто за меня туда copy-past сделает.

[m0ps]

там разница в том, что на интерфейсе с pppoe нужно прописывать:

Код: Выделить всё

pppoe client route track 1

а в случае с езернетом:

Код: Выделить всё

route primary 0.0.0.0 0.0.0.0 10.10.10.1 1 track 1

[DenisKh]

Что то такое подозревал
Но это уже офтоп
Кстати для мониторинга ASA (кроме CACTI ) есть еще не плохая софтина Manage Engine Firewall Analizer

[m0ps]

Что то такое подозревал
Но это уже офтоп
Кстати для мониторинга ASA (кроме CACTI ) есть еще не плохая софтина Manage Engine Firewall Analizer

ага, только он денюжек просит

[DenisKh]

Ну если в компании все белое то тогда да,однозначно не катит. А так лекарство найти очень просто даже на текущую версию

[DenisKh]

Что то я недопонимаю...Судя по статистике Cacti у меня с резервного канала ушло 850 мегов за час а пришло 250.
Хотя умолчальный маршрут в циске указан на другого провайдера.

[m0ps]

Что то я недопонимаю...Судя по статистике Cacti у меня с резервного канала ушло 850 мегов за час а пришло 250.
Хотя умолчальный маршрут в циске указан на другого провайдера.

нет, у меня тоже есть трафик in - 854.72Kb, out - 737.69Kb