php global.asa,ASA双链路SLA配置测试

于 2021-04-06 04:54:17 发布
阅读量162 收藏
点赞数
文章标签: php global.asa

一.概述:

实际工作中估计会经常碰到用ASA接两家ISP线路,比如电信和网通,而又没有足够的预算买负载均衡设备,但是又想实现链路负载分担和自动切换,从电信来的流量,从电信线路回去,从网通来的流量从网通线路回去,当其中一条线路出现故障时,所有的流量从没有出现故障线路走。

二.基本思路:

A.用OSPF模拟运营商网络,主要是为了不想手工添加路由

B.通过添加默认路由走电信线路、监控电信线路的网关,和高metric的默认路由走网通线路,实现:

—-电信来的流量走电信回去(需要C手工配置网通静态路由相配合)

—-电信链路出现故障时,走网通线路

C.通过添加网通的静态路由走网通线路,并监控网通线路的网关,实现:

—-网通来的流量走网通回去

—-网通链路出现故障时,走电信线路的默认路由

D.对于静态NAT,实际环境只有当两条ISP线路都正常时,才会同时能被访问

E.测试环境,实现静态NAT当一条线路出现故障时,还能同时被访问,实现的方法是:

—ASA两个外部接口配置两条静态NAT

—ASA两个相连的ISP路由器把另外一家ISP所NAT的网段发布出去,并将metric设置比OSPF默认的大

三.测试拓扑:

201307130406009425.jpg

四.基本配置:

A.R1:

①接口配置:

interfaceLoopback0

ipaddress1.1.1.1255.255.255.0

interfaceLoopback61

ipaddress61.1.3.1255.255.255.0

ipospfnetworkpoint-to-point

interfaceLoopback202

ipaddress202.100.3.1255.255.255.0

ipospfnetworkpoint-to-point

interfaceFastEthernet0/0

ipaddress202.100.2.1255.255.255.0

noshut

interfaceFastEthernet0/1

ipaddress61.1.2.1255.255.255.0

noshut

②路由配置:

routerospf1

router-id1.1.1.1

passive-interfacedefault

nopassive-interfaceFastEthernet0/0

nopassive-interfaceFastEthernet0/1

network61.1.2.10.0.0.0area0

network61.1.3.10.0.0.0area0

network202.100.2.10.0.0.0area0

network202.100.3.10.0.0.0area0

B:R2:

①接口配置:

interfaceLoopback0

ipaddress2.2.2.2255.255.255.0

interfaceFastEthernet0/0

ipaddress202.100.1.2255.255.255.0

noshut

interfaceFastEthernet0/1

ipaddress202.100.2.2255.255.255.0

noshut

interfaceFastEthernet1/0

ipaddress23.1.1.1255.255.255.252

noshut

②路由配置:

routerospf1

router-id2.2.2.2

log-adjacency-changes

passive-interfacedefault

nopassive-interfaceFastEthernet0/1

nopassive-interfaceFastEthernet1/0

network23.1.1.10.0.0.0area0

network202.100.1.20.0.0.0area0

network202.100.2.20.0.0.0area0

C.R3:

①接口配置:

interfaceLoopback0

ipaddress3.3.3.3255.255.255.0

interfaceFastEthernet0/0

ipaddress61.1.1.3255.255.255.0

noshut

interfaceFastEthernet0/1

ipaddress61.1.2.3255.255.255.0

noshut

interfaceFastEthernet1/0

ipaddress23.1.1.2255.255.255.252

noshut

②路由配置:

routerospf1

router-id3.3.3.3

passive-interfacedefault

nopassive-interfaceFastEthernet0/1

nopassive-interfaceFastEthernet1/0

network23.1.1.20.0.0.0area0

network61.1.1.30.0.0.0area0

network61.1.2.30.0.0.0area0

D.ASA842:

①接口配置:

interfaceGigabitEthernet0

nameifInside

security-level100

ipaddress10.1.1.10255.255.255.0

noshut

interfaceGigabitEthernet1

nameifOutside

security-level0

ipaddress202.100.1.10255.255.255.0

noshut

interfaceGigabitEthernet2

nameifBackup

security-level0

ipaddress61.1.1.10255.255.255.0

noshut

②两条线路的动态PAT配置:

objectnetworkinside_net

subnet0.0.0.00.0.0.0

objectnetworkinside_any

subnet0.0.0.00.0.0.0

objectnetworkinside_net

nat(Inside,Outside)dynamicinterface

objectnetworkinside_any

nat(Inside,Backup)dynamicinterface

③两条线路的静态NAT配置:

objectnetworkInside_host_outside

host10.1.1.4

objectnetworkInside_host_backup

host10.1.1.4

objectnetworkOutside-to-backup

host10.1.1.4

objectnetworkBackup-to-outside

host10.1.1.4

objectnetworkInside_host_outside

nat(Inside,Outside)static202.100.1.4

objectnetworkInside_host_backup

nat(Inside,Backup)static61.1.1.4

objectnetworkOutside-to-backup

nat(Inside,Outside)static61.1.1.4

objectnetworkBackup-to-outside

nat(Inside,Backup)static202.100.1.4

—-每条线路配置两条NAT,保证一条ISP线路出现故障时,两条静态NAT都能被访问

④防火墙策略配置:

class-mapALL_IP

matchany

policy-mapglobal_policy

classinspection_default

inspecticmp

classALL_IP

setconnectiondecrement-ttl

service-policyglobal_policyglobal

access-listoutsideextendedpermiticmpanyany

access-listoutsideextendedpermitudpanyanyrange3343433523

access-listoutsideextendedpermittcpanyobjectInside_host_outsideeqtelnet

access-groupoutsideininterfaceOutside

access-groupoutsideininterfaceBackup

E:R4:

①接口配置:

interfaceLoopback0

ipaddress192.168.1.4255.255.255.0

interfaceFastEthernet0/0

ipaddress10.1.1.4255.255.255.0

noshut

②路由配置:

iproute0.0.0.00.0.0.010.1.1.10

③telnet配置:

linevty04

passwordcisco

login

五.ASA842SLA及路由配置:

①sla配置:

slamonitor1

typeechoprotocolipIcmpEcho202.100.1.2interfaceOutside

frequency10

slamonitorschedule1lifeforeverstart-timenow

slamonitor2

typeechoprotocolipIcmpEcho61.1.1.3interfaceBackup

frequency10

slamonitorschedule2lifeforeverstart-timenow

②track配置:

track1rtr1reachability

track2rtr2reachability

③静态路由配置:

routeoutside00202.100.1.21track1

routebackup0061.1.1.3254

—默认路由走电信线路,当电信线路出现故障时自动切换到网通线路

routeBackup61.1.2.0255.255.255.061.1.1.31track2

routeBackup61.1.3.0255.255.255.061.1.1.31track2

—当网通线路正常时,到网通的网络的数据走网通的线路,否则走电信的默认路由

routeInside192.168.1.0255.255.255.010.1.1.41

—增加一条回指路由

六.关于静态NAT:

—为了使两条线路其中一条线路出现故障时,两个被静态NAT地址都能访问,需要:

A.每条线路配置两条静态NAT

—-前面已经配置

B.每个相连的ISP路由器把另外一家ISP所NAT的网段发布出去,并将metric设置比ospf默认的大

—-这种情况在实际环境基本无法实现,两家ISP不可能会帮客户做这样的事情,除非给的费用足够多

—-测试环境下还是可以玩一玩的

①R2路由器:

iproute61.1.1.0255.255.255.0202.100.1.10254tag10

route-mapASA842permit10

matchtag10

routerospf1

redistributestaticmetric130subnetsroute-mapASA842

②R3路由器:

iproute202.100.1.0255.255.255.061.1.1.10254tag10

route-mapASA842permit10

matchtag10

routerospf1

redistributestaticmetric130subnetsroute-mapASA842

七.效果测试:

A.线路正常的情况下:

R4#traceroute202.100.3.1sourcel0

Typeescapesequencetoabort.

Tracingtherouteto202.100.3.1

1202.100.1.2160msec108msec56msec

2202.100.2.136msec*24msec

R4#traceroute61.1.3.1sourcel0

Typeescapesequencetoabort.

Tracingtherouteto61.1.3.1

161.1.1.3112msec8msec0msec

261.1.2.1112msec*68msec

—去电信的流量走电信,去网通的流量走网通

R1#traceroute202.100.1.4sourcel202

Typeescapesequencetoabort.

Tracingtherouteto202.100.1.4

1202.100.2.232msec56msec20msec

2202.100.1.1040msec*24msec

3202.100.1.480msec*16msec

R1#traceroute202.100.1.4sourcel61

Typeescapesequencetoabort.

Tracingtherouteto202.100.1.4

1202.100.2.2140msec180msec80msec

2202.100.1.1064msec*88msec

3202.100.1.4140msec*84msec

R1#traceroute61.1.1.4sourcel61

Typeescapesequencetoabort.

Tracingtherouteto61.1.1.4

161.1.2.3116msec32msec0msec

261.1.1.104msec*4msec

361.1.1.4208msec*128msec

R1#traceroute61.1.1.4sourcel202

Typeescapesequencetoabort.

Tracingtherouteto61.1.1.4

161.1.2.38msec120msec192msec

261.1.1.100msec*20msec

361.1.1.4152msec*204msec

—-两个被静态NAT地址都能被访问,并且电信的地址走电信接口,网通的地址走网通的接口

B.电信线路不正常的情况下:

R4#traceroute202.100.3.1sourcel0

Typeescapesequencetoabort.

Tracingtherouteto202.100.3.1

110.1.1.10188msec*28msec

261.1.1.344msec0msec0msec

361.1.2.1108msec*84msec

R4#traceroute61.1.3.1sourcel0

Typeescapesequencetoabort.

Tracingtherouteto61.1.3.1

110.1.1.100msec*20msec

261.1.1.3100msec32msec0msec

361.1.2.1108msec*72msec

—去电信和网通的流量都走网通

R1#traceroute202.100.1.4sourcel202

Typeescapesequencetoabort.

Tracingtherouteto202.100.1.4

161.1.2.34msec184msec52msec

261.1.1.100msec*0msec

3202.100.1.4152msec*12msec

R1#traceroute202.100.1.4sourcel61

Typeescapesequencetoabort.

Tracingtherouteto202.100.1.4

161.1.2.336msec4msec16msec

261.1.1.10200msec*16msec

3202.100.1.4184msec*148msec

R1#traceroute61.1.1.4sourcel61

Typeescapesequencetoabort.

Tracingtherouteto61.1.1.4

161.1.2.348msec0msec0msec

261.1.1.104msec*32msec

361.1.1.4148msec*180msec

R1#traceroute61.1.1.4sourcel202

Typeescapesequencetoabort.

Tracingtherouteto61.1.1.4

161.1.2.376msec52msec0msec

261.1.1.100msec*16msec

361.1.1.4172msec*112msec

—-电信和网通被静态NAT的地址都能被电信和网通的用户访问

C.网通线路不正常的情况下:

R4#traceroute202.100.3.1sourcel0

Typeescapesequencetoabort.

Tracingtherouteto202.100.3.1

110.1.1.108msec*28msec

2202.100.1.2108msec72msec84msec

3202.100.2.188msec*128msec

R4#traceroute61.1.3.1sourcel0

Typeescapesequencetoabort.

Tracingtherouteto61.1.3.1

110.1.1.100msec*76msec

2202.100.1.2112msec96msec24msec

3202.100.2.1248msec*76msec

—去电信和网通的流量都走电信

R1#traceroute202.100.1.4sourcel202

Typeescapesequencetoabort.

Tracingtherouteto202.100.1.4

1202.100.2.24msec156msec76msec

2*

202.100.1.1040msec*

3202.100.1.468msec*24msec

R1#traceroute202.100.1.4sourcel61

Typeescapesequencetoabort.

Tracingtherouteto202.100.1.4

1202.100.2.292msec60msec124msec

2202.100.1.104msec*36msec

3202.100.1.4152msec*60msec

R1#traceroute61.1.1.4sourcel61

Typeescapesequencetoabort.

Tracingtherouteto61.1.1.4

1202.100.2.232msec136msec116msec

2202.100.1.1080msec*56msec

361.1.1.4120msec*120msec

R1#traceroute61.1.1.4sourcel202

Typeescapesequencetoabort.

Tracingtherouteto61.1.1.4

1202.100.2.24msec140msec112msec

2202.100.1.1064msec*64msec

361.1.1.4156msec*80msec

—-电信和网通被静态NAT的地址都能被电信和网通的用户访问

SpiderStore蜘蛛商店
关注
ASA 集群+线路+策略路由+IP SLA+NAT+snmp
06-08
ASA 集群+线路+策略路由+IP SLA+NAT+snmp 等相关配置
ASA中的SLA
weixin_33958366的博客
10-05 231
我们知道思科路由器里有sla,用来监视目的点的死活情况,根据死活来调整本地网络设备的配置。 作为防火墙的ASA是不是也有这样的功能,当然有了,不过版本低了真不知道到底有没有,我确认的是8.3版。 下面简单说一下用法,估计在路由器上会用的人,一看就明白了。 route outside 0.0.0.0 0.0.0.0 122.*.*.185 1 track 1r...
ASA-SLA静态路由跟踪
weixin_33816821的博客
11-12 433
ASA-SLA静态路由跟踪 本文转自 Bruce_F5 51CTO博客,原文链接:http://blog.51cto.com/zenfei/565657
ASA链路SLA配置测试
weixin_34009794的博客
09-27 406
一.概述:实际工作中估计会经常碰到用ASA接两家ISP线路,比如电信和网通,而又没有足够的预算买负载均衡设备,但是又想实现链路负载分担和自动切换,从电信来的流量,从电信线路回去,从网通来的流量从网通线路回去,当其中一条线路出现故障时,所有的流量从没有出现故障线路走。二.基本思路:A.用OSPF模拟运营商网络,主要是为了不想手工添加路由B.通过添加默认路由走电信线路、监控电信线...
ASA防火墙上部署SLA
weixin_34112900的博客
06-01 625
思科路由器里有sla,用来监视目的地是否可达情况,根据监视来调整本地网络设备的路由配置,很好用 作为ASA当然也有这个功能,我使用的版本是8.4版。8.0以上的都有,有可能命令有点变化,以前8.1的版本也配置过,8.0以下的不确定。 下面简单说一下用法,一看就明白。 route outside 0.0.0.0 0.0.0.0 122.*.*.185 1 trac...
实验10.防火墙ASA5505(教学).doc
05-30
防火墙对于防范网络的安全具有很重要的作用,那么通过本文档,你就可以知道如何配置防火墙,了解防火墙与路由器的区别。
路由器SLA配置实例
10-24
路由器SLA配置实例的知识点涵盖了路由器上Service Level Agreement(SLA配置的应用,其中SLA的主要作用是确保网络的服务质量。SLA可以实现对网络连接的监控,例如监测目标主机的可达性、延迟和抖动等性能指标。在...
PBR+SLA配置.docx
06-08
PBR+SLA配置 本文档介绍了使用思科ISR路由器实现高可用性的PBR(Policy-Based Routing)和SLA(Service Level Agreement)配置的方法。该配置旨在解决ISP线路故障时的网络可用性问题。 SLA配置是检测ISP网关的...
分析路由器SLA配置
01-19
传统上,SLA包含了对服务有效性的保障,譬如对故障解决时间、服务超时等的保证。但是随着更多的商业应用在Internet的广泛开展,越来越需要SLA对性能(如响应时间)作出保障。这种需要将会随着越来越多的商业在...
ASA842链路SLA配置测试
weixin_34306593的博客
06-29 285
一.概述: 实际工作中估计会碰到需要用一台ASA接两家ISP线路,比如电信和网通,而又没有足够的预算买负载均衡设备,但是又想实现链路负载分担和自动切换,从电信来的流量,从电信线路回去,从网通来的流量从网通线路回去,当其中一条线路出现故障时,所有的流量从没有出现故障线路走。二.基本思路:A.用OSPF模拟运营商网络,主要是为了不想手工添加路由B.通过添加默认路由走电信线路、监控电信线路的网关,和高...
ASA5520上的failover和SLA
weixin_34203426的博客
02-21 206
没想到面试还能有这样的收获 上周五一个面试,其实也没想去。就跑去看看。谁知,对方是个非常精通技术的管理者。在那里侃侃而谈,我顺带问了几个自己碰到的问题。哈哈,给了两个很有用的建议。当然,这些个建议,我也不能试了。自己的山寨办法也解决了。 不过,最有用的是,我得知5520上能有WAN口。唉,惭愧,当初也没仔细看help,就自己配置下。想用到WAN的时候,去C...
单出口防火墙核心冗余_CISCO ASA防护墙详细AS/出口配置切换---By 年糕泰迪...
weixin_42470196的博客
02-05 1934
一.实验概述实验目的:1/开机零配置中性企业网络骨干架构。2/部署出口防火墙HA(Active/Standby)并验证测试。3/部署出口自动冗余切换并验证测试。实验材料:EVE-NG ,ASAv(v9.8) ,路由器,L3交换机。实验前提此次实验防火墙为routed模式,并且为single模式实验拓扑:拓扑说明:1/名称说明:Net云为通EVE-NG模拟器主机桥接的NAT网卡,负责该网络拓扑向外...
cisco的ip sla 实例应用--端到端的可用性动态监测
weixin_33826609的博客
01-02 766
IP SLA是 Internet Protocol Service-Level Agreement的缩写,意思是互联网协议服务等级协议。IP SLA主要有以下应用场合:1.静态路由下一跳检测。2.HSRP出接口检测。3.PBR策略路由下一跳检测。本文主要是以静态路由下一跳可达性检测,为例子介绍IP SLA的作用和配置:某种原因下R1和R2会经过中间的透传设备。接口按照实验...
使用sla宿出口进行主备。
weixin_33724046的博客
01-03 151
51cto博客好烂,好难操作,编辑了我几天都没写完!!!!!!现在向大家示范一下ip sla的使用方式,其实很多公司都有这样的一种外网出口的架构,单平面连向多个isp或者平面连向多个isp,其实在动态路由的内网,sla这种技术不是防止内部平面设备down机问题(因为如果内部出现down机的话,ospf会自动调整路由),而是防止isp设备掉线后,边界设备不能自动切换导致断网。 为啥会这样呢?原因是...
Cisco SLA配置
たかなし りっか
11-22 2893
Router(config)#ip sla 1 Router(config-ip-sla)#icmp-echo [destination address] source-interface fx/x Router(config-ip-sla-echo)#frequency 5 Router(config)#ip sla schedule 1 life forever start-time...
ASA LAB-ASA NAT配置大全
weixin_34167819的博客
11-16 408
ASA LAB-ASA NAT配置大全 两种NAT配置方式 : 1- Auto(object)NAT 2- Twice NAT NAT分类 : Static nat Dynamic nat Static PAT Dynamic PAT Nat exmption 今天抽空做了下八大类NAT的实验,这个文档比较常用,愿大家共同进步 实验: 先看下 AS...
第四周实践课-课堂笔记.pdf
最新发布
09-16
第四周实践课-课堂笔记
ASA中的SLA具体配置实例
06-06
以下是ASA配置SLA的一个例子: 1. 创建一个IP SLA ``` asa(config)# ip sla 1 asa(config-ip-sla)# icmp-echo 8.8.8.8 asa(config-ip-sla-echo)# frequency 10 ``` - `ip sla 1`:创建一个ID为1的IP SLA - `...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值