欢迎来到天天文库
浏览记录
ID:44208326
大小:58.06 KB
页数:5页
时间:2019-10-19
《CiscoASA5510双出口策略路由配置》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库。
1、Asa/PIX的StaticRouteTracking命令可以有效解决双ISP出口的问题存在问题:静态路由没有固定的机制来决定是否可用,即使下一跳不可达,静态路由还是会存在路由表里,是有当ASA自己的和这条路由相关接口down了,才会从路由表里删除解决办法:StaticRouteTracking这个feature提供一种方法来追踪静态路由,当主路由失效吋可以安装备份路由进路由表,例如:2条缺省指向不同ISP,当主的ISP断了,可以立即启用备用ISP链路,它是使用ICMP来进行追踪的,如果在一定h
2、oldtime没有收到reply的话就认为这条链路down了,就会立即删除该静态路由,预先设置的备份路由就会进入路由表。注意:配置吋要在outside口上放开icmpreply(如果打开了icmp限制)pixFirewall(config)#slamonitorslajd#指定检测的slalDPixfirewall(config-sla-monitor)#typeechoprotocolipIcmpEchotargetjpinterfaceif_name#指定检测的协议类型为ICMP协议,并指定
3、检测目的地址和接口这个必须是个可以ping通的地址,当这个地址不可用时,track跟踪的路由就会被删除,备份路由进路由表pixFirewall(config)#slamonitorscheduleslajd[life{forever
4、seconds}][start-time{hh:mm[:ss][monthday
5、daymonth]
6、pending
7、now
8、afterhh:mm:ss}][ageoutseconds][recurring]#指定一个Schedule,一般会是startnow必须要
9、写时间表,不然track的路由进不了路由表pixFirewall(config)#tracktrackjdrtrslajdreachability#指定一个TrackID,并要求追踪SlalD的可达性pixFirewall(config)#routeif_namedestjpmaskgatewayJp[admin_distance]tracktrack_i#设定默认路由,并绑定一个TrackID配置实例:slamonitor1typeechoprotocolipIcmpEcho202.1.1.2
10、interfacedxslamonitorschedule1start-timenow(必须配置,不然track的路由进不了路由表)track2rtr1reachabilityroutedx0.0.0.00.0.0.0202.1.1.21track2(电信默认网关,会追踪地址的可达性)routewt0.0.0.00.0.0.0101.1.1.22(网通默认网关)当配置的202.1.1.2ping不通(ICMP协议不能Reachability)的时候,routedx0.0.0.00.0.0.020
11、2.1.1.21就会在路由表里册ij除,并由第二条默认路由即routewt0.0.0.00.0.0.0101.1.1.22取代,当202.1.1.2恢复后,又会重新变为dxO.O.O.O0.0.0.0202.1.1.21这个feature我想大家在很多项目里都会遇到,ASA可以有效解决!这与我们用路由器实现双出口备份是一样的,通过配置SAA,检查其连通性。并跟踪这结果。来对路由进行选择,实现思路非常精巧!附:PIX双出口ISP配置实例网络拓扑图:配置文件:Pixfirewall#showrunn
12、ing・config:SavedPIXVersion7.2(1)!hostnamepixdomain-namedefault.domain.invalidenablepassword9jNfZuG3TC5tCVH0encryptednames!interfaceEthernetOnameifoutsidesecurity-level0ipaddress10.200.159.2255.255.255.248!interfaceEthernetlsecurity-level0nameifbackup
13、!—命名链接备份ISP接口的接口名字,随便起名字的ipaddress10.250.250.2255.255.255.248!interfaceEthernet2nameifinsidesecurity-level100ipaddress172.22.1.163255.255.255.0!interfaceEthernet3shutdownnonameifnosecurity-levelnoipaddresstinterfaceEthernet4shutdownnonameifnosecurity
此文档下载收益归作者所有