forum.lissyara.su

Добавлено: **2009-07-13 16:44:12**

решили сделать резервный канал в инет на асе. основной канал - adsl безлимит, резервный - выделенка помегабайтная. для adsl default шлюз выдается через pppoe. куски конфигов асы ниже
основной outside интерфейс:

Код: Выделить всё

interface Ethernet0/0
 description OutSide ADSL PPPoE link
 nameif outside
 security-level 0
 pppoe client vpdn group pppoe-adsl
 pppoe client route track 1
 ip address pppoe setroute

резервный outside интерфейс:

Код: Выделить всё

interface Ethernet0/1
 description Backup Outside LL
 nameif backup
 security-level 0
 ip address yyy.yyy.yyy.yyy 255.255.255.224

sla монитор:

Код: Выделить всё

sla monitor 1 
 type echo protocol ipIcmpEcho 195.5.46.19 interface outside
 num-packets 3
 frequency 10

"расписание" работы sla монитора:

Код: Выделить всё

sla monitor schedule 1 life forever start-time now

привязка трека к основному каналу:

Код: Выделить всё

track 1 rtr 1 reachability

резервный основной шлюз:

Код: Выделить всё

route backup 0.0.0.0 0.0.0.0 xxx.xxx.xxx.xxx 254

проблема в том, что основной канал всегда считается упавшим, аса пытается работать через резервный...

Код: Выделить всё

asa5510# show sla monitor operational-state
Entry number: 1
Modification time: 16:41:21.921 KIEV Mon Jul 13 2009
Number of Octets Used by this Entry: 1480
Number of operations attempted: 1
Number of operations skipped: 0
Current seconds left in Life: Forever
Operational state of entry: Active
Last time this entry was reset: Never
Connection loss occurred: FALSE
Timeout occurred: TRUE
Over thresholds occurred: FALSE
Latest RTT (milliseconds): NoConnection/Busy/Timeout
Latest operation start time: 16:41:21.925 KIEV Mon Jul 13 2009
Latest operation return code: Timeout
RTT Values:
RTTAvg: 0       RTTMin: 0       RTTMax: 0
NumOfRTT: 0     RTTSum: 0       RTTSum2: 0

Код: Выделить всё

asa5510# show sla monitor configuration
SA Agent, Infrastructure Engine-II
Entry number: 1
Owner:
Tag:
Type of operation to perform: echo
Target address: 195.5.46.19
Interface: outside
Number of packets: 1
Request size (ARR data portion): 28
Operation timeout (milliseconds): 5000
Type Of Service parameters: 0x0
Verify data: No
Operation frequency (seconds): 60
Next Scheduled Start Time: Start Time already passed
Group Scheduled : FALSE
Life (seconds): Forever
Entry Ageout (seconds): never
Recurring (Starting Everyday): FALSE
Status of entry (SNMP RowStatus): Active
Enhanced History:

Добавлено: **2009-07-14 11:37:45**

убрал из конфига sla monitor 1. теперь получается следующая ситуация:
если выдернуть шнурок основного канала - идет переключение на резервный, если втыкнуть обратно - переключаемся на основной, но если просто из модема выдернуть dsl линию - нефига не происходит (маршрут остается прежним). если выключить модем - переключаемся на резервный канал, включаю - моментально переходим на основной, хотя сам модем до конца не успел загрузиться (не говоря уже о том, что asa не успел поднять pppoe)

Добавлено: **2009-08-06 19:50:23**

Если еще актуально тогда
http://cisco.com/en/US/products/hw/vpnd ... 880b.shtml

Добавлено: **2009-11-02 17:25:47**

Похоже мануал на cisco.com не внес ясности
Такая же проблема как и у топикстартера.. В случае падения основного канала asa переключается на резервный но как только основной канал поднимается возврат на него не происходит. Может кто решил данную проблему ?
Настройка ip sla такая же как и у топикстартера

Добавлено: **2009-11-02 17:39:49**

я тоже пока не решил эту проблему, если найдешь решение - свистни...

Добавлено: **2009-11-02 19:07:13**

Я просто уже стал сомневаться что она должна обратно переключаться

Добавлено: **2009-11-02 20:12:19**

Решил этот косяк
Отключи если у тебя на внешнем интерфейсе (если включен) ip verify reverse-path и все заработает..Просто это пояснение я и раньше на циске видел,но думал что если sla пингует внешний узел то мониторинг работает..а тут вон оно как..

Добавлено: **2009-11-02 21:48:44**

спасибо, завтра проверю

Добавлено: **2009-11-03 10:35:57**

Потом тогда расскажешь как и что..
Офтоп.
Кстати если вдруг ты используешь иос asa821-k8.bin,у тебя с ним косяков с wccp небыло ?

Добавлено: **2009-11-03 10:44:14**

DenisKh писал(а):Потом тогда расскажешь как и что..
Офтоп.
Кстати если вдруг ты используешь иос asa821-k8.bin,у тебя с ним косяков с wccp небыло ?

у мну asa804-k8.bin, да и wccp не используем

Добавлено: **2009-11-03 10:51:07**

выложите конфиг (чтобы был если такой вопрос возникнет), саму реализацию, не повредит многим

Добавлено: **2009-11-03 10:53:07**

Настройка резервного канала ISP на Cisco ASA 5510 с помощью SLA (Service Level Agreement).
Определяем интерфейсы

Код: Выделить всё

interface Ethernet0/0
 description --Primary ISP--
 speed 100
 duplex full
 nameif outside
 security-level 0
 ip address primary_isp 255.255.255.240 
!             
interface Ethernet0/1
 description --Backup ISP--
 speed 100
 duplex full
 nameif outside_adsl
 security-level 0
 ip address backup_isp 255.255.255.248

Разрешаем icmp пакеты на узел который будет показателем то что канал работает.

Код: Выделить всё

icmp permit host www.anysite.example primary
icmp deny any primary

Определяем nat для Primary и Backup

Код: Выделить всё

global (primary) 1 interface
global (backup) 1 interface

Указываем настройки шлюза,резервному каналу делаем большую метрику

Код: Выделить всё

route primary 0.0.0.0 0.0.0.0 10.10.10.1 1 track 1
route backup 0.0.0.0 0.0.0.0 12.12.12.12 5

Настраиваем SLA мониторинг.Задаем число пакетов и частоту с которой опрашивается хост.Опрос хоста идет через интерфейс который смотрит на основного провайдера.

Код: Выделить всё

sla monitor 1
 type echo protocol ipIcmpEcho www.anysite.example interface primary
 num-packets 10
 frequency 120

Запускаем это задание.

Код: Выделить всё

sla monitor schedule 1 life forever start-time now

Прописываем трек который привязан к нашему основному каналу.Его функция заключается в том что после восстановления основного канала идет переключение с резервного.

Код: Выделить всё

track 1 rtr 1 reachability

Если на основном внешнем интерфейсе включен ip verify reverse-path,то мониторинг работать не будет.Т/е в случае падения основного канал циска переключит все на резервный но когда основной канал заработает sla monitor будет показывать что канал не доступен.
Рекомендуется отключить эту функцию.После отключения ip verify reverse-path,все должно заработать.

Добавлено: **2009-11-03 11:23:14**

DenisKh,
проверил, действительно заработало...
я как-то летом занимался, потом был в отпуске и забил... сейчас наконец довел до ума

спасибо...

Добавлено: **2009-11-03 11:24:09**

Код: Выделить всё

ip sla

Добавлено: **2009-11-03 11:24:54**

zingel писал(а):выложите конфиг (чтобы был если такой вопрос возникнет), саму реализацию, не повредит многим

конфиг вверху... только стоит еще выключить ip verify reverse-path
(no ip verify reverse-path <interface_name>)

Добавлено: **2009-11-03 11:29:20**

шикарно

Добавлено: **2009-11-03 11:31:01**

Рад что помог

Оформил в виде примера если кому потребуется .

Добавлено: **2009-11-03 11:41:42**

на сайте бы запостил и заодно добавь вариант, когда один(оба) из каналов adsl

Добавлено: **2009-11-03 11:46:13**

А там вроде как без разницы какой канал ...ADSL или там просто к тебе Ethernet приходит из стенки

Данной реализации мне кажется фиолетово с чем работать.Я бы статью добавил,только не знаю как. Буду признателен если кто за меня туда copy-past сделает.

Добавлено: **2009-11-03 11:55:11**

там разница в том, что на интерфейсе с pppoe нужно прописывать:

Код: Выделить всё

pppoe client route track 1

а в случае с езернетом:

Код: Выделить всё

route primary 0.0.0.0 0.0.0.0 10.10.10.1 1 track 1

Добавлено: **2009-11-03 12:07:56**

Что то такое подозревал

Но это уже офтоп
Кстати для мониторинга ASA (кроме CACTI ) есть еще не плохая софтина Manage Engine Firewall Analizer

Добавлено: **2009-11-03 12:13:11**

DenisKh писал(а):Что то такое подозревал
Но это уже офтоп
Кстати для мониторинга ASA (кроме CACTI ) есть еще не плохая софтина Manage Engine Firewall Analizer

ага, только он денюжек просит

Добавлено: **2009-11-03 12:18:03**

Ну если в компании все белое то тогда да,однозначно не катит. А так лекарство найти очень просто даже на текущую версию

Добавлено: **2009-11-03 14:24:18**

Что то я недопонимаю...Судя по статистике Cacti у меня с резервного канала ушло 850 мегов за час а пришло 250.
Хотя умолчальный маршрут в циске указан на другого провайдера.

Добавлено: **2009-11-03 14:48:16**

DenisKh писал(а):Что то я недопонимаю...Судя по статистике Cacti у меня с резервного канала ушло 850 мегов за час а пришло 250.
Хотя умолчальный маршрут в циске указан на другого провайдера.

нет, у меня тоже есть трафик in - 854.72Kb, out - 737.69Kb

forum.lissyara.su

ASA IP SLA

ASA IP SLA

Re: ASA IP SLA

Re: ASA IP SLA

Re: ASA IP SLA

Re: ASA IP SLA

Re: ASA IP SLA

Re: ASA IP SLA

Re: ASA IP SLA

Re: ASA IP SLA

Re: ASA IP SLA

Re: ASA IP SLA

Re: ASA IP SLA

Re: ASA IP SLA

Re: ASA IP SLA

Re: ASA IP SLA

Re: ASA IP SLA

Re: ASA IP SLA

Re: ASA IP SLA

Re: ASA IP SLA

Re: ASA IP SLA

Re: ASA IP SLA

Re: ASA IP SLA

Re: ASA IP SLA

Re: ASA IP SLA

Re: ASA IP SLA