Configuration de Liaisons Redondantes ou Opérateur de Secours PIX ASA 7.x - Configuration de Liaisons Redondantes ou Opérateur de Secours ccnp_cch
Sommaire • Rappel • Configuration • Vérification • Introduction - Prérequis - Composants utilisés • Rappel • Configuration - Schéma du réseau - Configuration avec la CLI - Configuration avec l'ASDM • Vérification - Vérifier que la configuration est terminée - Vérifier que la route de secours est installée (Méthode CLI) - Vérifier que la route de secours est installée (Méthode ASDM) • Résolution de problèmes - Commandes debug - La route surveillée est retirée sans nécessité ccnp_cch
Introduction ccnp_cch Le problème avec les routes statiques est qu'il n'y a pas de mécanisme inhérent pour déterminer si une route est "up" ou "down". La route reste dans la table de routage même si la passerelle de prochain saut devient indisponible. Les routes statiques sont retirées de la table de routage uniquement si l'interface associée sur l'appliance de sécurité passe à l'état "down". Pour résoudre ce problème, une fonctionnalité de sur- veillance de route statique est utilisée pour surveiller la disponibilité de la route stati- que et si cette route n'est plus accessible, la retire de la table de routage et la remplace par une route de secours. Ce document fournit un exemple sur la manière d'utiliser la surveillance de route sta- tique sur les appliances PIX Série 500 ou ASA Série 5500 dans le but de permettre à l'équipement d'utiliser des connexions Internet redondantes ou de secours. Dans cet exemple, la surveillance de route statique autorise l'appliance de sécurité à utiliser une connexion non coûteuse vers un FAI (Fournisseur d'Accès Internet) secondaire dans l'éventualité ou la ligne louée primaire devient indisponible. Pour réaliser cette redondance, l'appliance de sécurité associe une route statique avec avec une cible de supervision que vous définissez. L'exploitation SLA (Service Level Agreement) surveille la cible avec des Echo Request ICMP (Internet Control Message Protocol) périodiques. Si un message Echo Reply n'est pas reçu, l'objet est considéré comme indisponible et la route associée est retirée de la table de routage. Une route de secours configurée précédemment est utilisée à la place de la route retirée. Tandis que la route de secours est en place, le superviseur SLA continue à tenter de joindre la cible supervisée. Dès que la cible redevient disponible, la première route est replacée dans la table de routage et la route de secours est retirée. Note: La configuration décrite dans ce document ne peut pas être utilisée pour de l'équilibrage de charge ou du partage de charge. Utilisez cette configuration pour de la redondance ou des besoins de secours uniquement. Le trafic sortant passe par l'opé- rateur principal et ensuite par l'opérateur secondaire si le premier est défaillant. La défaillance de l'opérateur principal cause une brève interruption du trafic. Prérequis Sélectionnez une cible de supervision qui peut répondre à des Echo Request ICMP. La cible peut être tout objet réseau que vous choisissez mais il faut une cible qui soit la plus liée possible à la connexion avec votre FAI principal. Quelques cibles de supervision sont: ● L'adresse de la passerelle du FAI ● Une autre adresse gérée par le FAI ● Un serveur sur un autre réseau tel qu'un serveur AAA avec lequel l'appliance de sécurité a besoin de communiquer. ● Un objet réseau permanent sur un autre réseau (un PC ou un notebook que vous pouvez arrêter la nuit n'est pas une bonne idée). Ce document suppose que l'appliance de sécurité est totalement opérationnelle et configurée pour permettre des modifications de configuration avec l'ASDM. ccnp_cch
Rappel ccnp_cch Composants utilisés Les informations présentées dans ce document sont basées sur les versions logicielles et matérielles suivantes: ● Cisco PIX Security Appliance 515E with software version 7.2(1) or later ● Cisco Adaptive Security Device Manager 5.2(1) or later Vous pouvez également utiliser cette configuration avec l'appliance de sécurité Cisco ASA Série 5500 version 7.2(1). Note: La commande backup interface est requise pour configurer la quatrième inter- face sur l'ASA 5505. Rappel Dans cet exemple, l'appliance de sécurité maintient deux connexions vers Internet. La première connexion est une ligne louée haut débit à travers un routeur fourni par le FAI primaire. La seconde connexion est une ligne DSL de débit plus faible qui est ac- cessible au travers d'un modem DSL fourni par l'opérateur secondaire. Note: il n'y a pas d'équilibrage de charge dans cet exemple. La connexion DSL est libre tant que la ligne louée est active et que la passerelle du FAI est accessible. Cependant si la connexion avec la FAI primaire n'est plus disponi- ble, l'appliance de sécurité change la table de routage pour diriger le trafic vers la con- nexion DSL. La surveillance de route statique est utilisée pour pouvoir réaliser cette redondance. L'appliance de sécurité est configurée avec une route statique qui dirige tout le trafic Internet vers le FAI primaire. Toutes les 10 secondes, le processus de supervision SLA vérifie que la passerelle de l'opérateur primaire est toujours accessible. Si le processus de supervision SLA détermine que la passerelle du FAI principal n'est plus active alors la route statique qui dirige le trafic vers cette interface est retirée de la table de routa- ge. Pour remplacer la route statique, une route statique alternative qui dirige le trafic vers le FAI secondaire est installée. Cette route statique alternative dirige le trafic vers le FAI secondaire au travers du modem DSL jusqu'à ca que le FAI primaire soit de nouveau accessible. Cette opération fournit un moyen relativement peu coûteux pour assurer que l'accès Internet reste toujours disponible pour les utilisateurs situés derrière l'appliance de sécurité. Comme cela est décrit dans ce document, cette configuration n'est pas sou- haitable pour l'accès entrant à des ressources situées derrière l'appliance de sécurité. ccnp_cch
Configuration Configuration avec la CLI ccnp_cch Dans cette section sont présentées les informations nécessaires à la configuration des fonctionnalités décrites dans ce document. Les adresses IP utilisées dans cette configuration ne sont pas routables sur Internet. Ce sont des adresses du RFC 1918 utilisées dans un environnement de test. Schéma du réseau Routeur B 10.0.0.0/30 FAI Primaire .2 Réseau 172.22.1.0/24 10.200.159.0/29 .1 Outside-e0 Inside-e2 .2 .163 .2 FAI Secondaire Backup-e1 10.250.250.0/29 .1 Modem DSL Configuration avec la CLI PIX pix# show running−config : Saved : PIX Version 7.2(1) ! hostname pix domain−name default.domain.invalid enable password 9jNfZuG3TC5tCVH0 encrypted names interface Ethernet0 nameif outside security−level 0 ip address 10.200.159.2 255.255.255.248 interface Ethernet1 nameif backup !−−− Interface attachée au FAI secondaire. ip address 10.250.250.2 255.255.255.248 ccnp_cch
ccnp_cch interface Ethernet2 nameif inside security−level 100 ip address 172.22.1.163 255.255.255.0 ! interface Ethernet3 shutdown no nameif no security−level no ip address interface Ethernet4 interface Ethernet5 passwd 2KFQnbNIdI.2KYOU encrypted ftp mode passive dns server−group DefaultDNS domain−name default.domain.invalid pager lines 24 logging enable logging buffered debugging mtu outside 1500 mtu backup 1500 mtu inside 1500 no failover asdm image flash:/asdm521.bin no asdm history enable arp timeout 14400 global (outside) 1 interface global (backup) 1 interface nat (inside) 1 172.16.1.0 255.255.255.0 !−−− Configuration NAT pour Outside et Backup. route outside 0.0.0.0 0.0.0.0 10.200.159.1 1 track 1 !−−− Entrez cette commande pour surveiller la route statique. !−−− C'est la route statique qui doit être installée dans la !−−− table de routage tant que l'objet surveillé est accesible. !−−− La valeur après le mot-clé "track" est l'ID de surveillance !--- que vous spécifiez. ccnp_cch
route backup 0.0.0.0 0.0.0.0 10.250.250.1 254 !−−− Définit la route de secours quand l'objet surveillé est !−−− indisponible. !−−− La distance administrative de la route de secours doit être !--- plus grande que la route surveillée. !−−− Si la passerelle primaire est indisponible alors la route !−−− est retirée de la table de routage et la route de secours !−−− est installée à la place de la route surveillée. timeout xlate 3:00:00 timeout conn 1:00:00 half−closed 0:10:00 udp 0:02:00 icmp 0:00:02 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp−pat 0:05:00 timeout sip 0:30:00 sip_media 0:02:00 sip−invite 0:03:00 sip−disconnect 0:02:00 timeout uauth 0:05:00 absolute username cisco password ffIRPGpDSOJh9YLq encrypted http server enable http 172.22.1.0 255.255.255.0 inside no snmp−server location no snmp−server contact snmp−server enable traps snmp authentication linkup linkdown coldstart sla monitor 123 type echo protocol ipIcmpEcho 10.0.0.1 interface outside num−packets 3 frequency 10 !−−− Configure un nouveau processus de surveillance avec l'ID 123. !--- Spécifiez le protocole de surveillance et l'objet réseau !--- cible dont l'accessibilté sera surveillée par le processus !−−− de surveillance. Spécifiez le nombre de paquets à transmettre !--- avec chaque interrogation. !−−− Spécifiez la fréquence avec laquelle le processus de !--- surveillance transmet(en secondes). sla monitor schedule 123 life forever start−time now !−−− Planifie le processus de surveillance. Dans ce cas la durée !--- de vie est fixée à "forever". Le processus est planifié pour !--- débuter dès que la commande est entrée. track 1 rtr 123 reachability !−−− Associe une route statique surveillée au processus de !--- surveillance SLA.Le "track ID" correspond au "track ID" !−−− donné pour la route statique à surveiller: !−−− route outside 0.0.0.0 0.0.0.0 10.0.0.2 1 track 1 !−−− "rtr" = Response Time Reporter. 123 est l'ID du !--- processus SLA. telnet timeout 5 ssh timeout 5 console timeout 0 ! ccnp_cch
ccnp_cch class−map inspection_default match default−inspection−traffic ! policy−map type inspect dns preset_dns_map parameters message−length maximum 512 policy−map global_policy class inspection_default inspect dns preset_dns_map inspect ftp inspect h323 h225 inspect h323 ras inspect netbios inspect rsh inspect rtsp inspect skinny inspect esmtp inspect sqlnet inspect sunrpc inspect tftp inspect sip inspect xdmcp service−policy global_policy global prompt hostname context Cryptochecksum:a4a0e9be4593ad43bc17a1cc25e32dc2 : end ccnp_cch
ccnp_cch Configuration ASDM Pour configurer le support FAI redondant ou de secours avec l'application ASDM, exécutez ces étapes. 1. Dans l'application ASDM, cliquez sur Configuration et ensuite sur Interfaces. ccnp_cch
2. Dans liste Interfaces, sélectionnez Ethernet 0 et cliquez sur Edit. Cette boite de dialogue apparaît. 3. Cochez Enable Interface et entrez les valeurs dans les champs Interface Name, Security Level, IP Address et Subnet Mask. 4. Cliquez sur Ok pour fermer la boite de dialogue. 5. Configurez d'autres interfaces selon le besoin et cliquez sur Apply pour mettre à jour la configuration de l'appliance de sécurité. ccnp_cch
6. Cliquez sur Routing dans la partie gauche de l'application ASDM. ccnp_cch
7. Cliquez sur Add pour ajouter de nouvelles routes statiques. Cette boite de dialogue apparaît. 8. De la liste déroulante Interface Name, choisissez l'interface sur laquelle résident les routes et configurer la route par défaut pour joindre la passerelle. Dans cet exemple 10.0.0.1 est la passerelle FAI primaire comme objet à superviser avec des Echo Request ICMP. 9. Dans la zone Options, cliquez sur le bouton radio Tracked et entrez les valeurs dans les champs Track ID, SLA ID et Track IP Address. 10. Cliquez sur Monitoring Options. Cette boite de dialogue apparaît. ccnp_cch
11. Entrez les valeurs pour Frequency et d'autres options de surveillance puis cliquez sur OK. 12. Ajoutez une autre route statique. Configurez cette route statique avec une métri- que plus élevée comme 254 par exemple. Si la route primaire (FAI primaire) est défaillante, cette route est retirée de la table de routage. Cette route secondaire est installée dans la table de routage à la place du PIX. 13. Cliquez sur Ok pour fermer la boute de dialogue. ccnp_cch
ccnp_cch La configuration apparaît dans la liste Interface. 14. Sélectionnez la configuration Routing et cliquez sur Apply pour mettre à jour la configuration de l'appliance de sécurité. ccnp_cch
Vérification ccnp_cch Utilisez cette section pour vérifiez que votre configuration fonctionne correctement. Vérifier que la configuration est terminée Utilisez ces commandes show pour vérifier que votre configuration est complète. ● show running−config sla monitor - Affiche les commandes SLA de la configuration. pix# show running−config sla monitor sla monitor 123 type echo protocol ipIcmpEcho 10.0.0.1 interface outside num−packets 3 frequency 10 sla monitor schedule 123 life forever start−time now ● show sla monitor configuration - Affiche la configuration courante de la surveillance SLA. pix# show sla monitor configuration 123 IP SLA Monitor, Infrastructure Engine−II. Entry number: 123 Owner: Tag: Type of operation to perform: echo Target address: 10.0.0.1 Interface: outside Number of packets: 3 Request size (ARR data portion): 28 Operation timeout (milliseconds): 5000 Type Of Service parameters: 0x0 Verify data: No Operation frequency (seconds): 10 Next Scheduled Start Time: Start Time already passed Group Scheduled : FALSE Life (seconds): Forever Entry Ageout (seconds): never Recurring (Starting Everyday): FALSE Status of entry (SNMP RowStatus): Active Enhanced History: ccnp_cch
● show sla monitor operational−state - Affiche les statistiques opérationnelles de la surveillance SLS. Avant la défaillance du FAI primaire, l'état opérationnel est le suivant: pix# show sla monitor operational−state 123 Entry number: 123 Modification time: 13:59:37.824 UTC Thu Oct 12 2006 Number of Octets Used by this Entry: 1480 Number of operations attempted: 367 Number of operations skipped: 0 Current seconds left in Life: Forever Operational state of entry: Active Last time this entry was reset: Never Connection loss occurred: FALSE Timeout occurred: FALSE Over thresholds occurred: FALSE Latest RTT (milliseconds): 1 Latest operation start time: 15:00:37.825 UTC Thu Oct 12 2006 Latest operation return code: OK RTT Values: RTTAvg: 1 RTTMin: 1 RTTMax: 1 NumOfRTT: 3 RTTSum: 3 RTTSum2: 3 Après la défaillance du FAI primaire ( Echos ICMP time out), l'état opérationnel est le suivant: pix# show sla monitor operational−state Modification time: 13:59:37.825 UTC Thu Oct 12 2006 Number of operations attempted: 385 Timeout occurred: TRUE Latest RTT (milliseconds): NoConnection/Busy/Timeout Latest operation start time: 15:03:27.825 UTC Thu Oct 12 2006 Latest operation return code: Timeout RTTAvg: 0 RTTMin: 0 RTTMax: 0 NumOfRTT: 0 RTTSum: 0 RTTSum2: 0 ccnp_cch
ccnp_cch Confirmer que la route de secours est installée (méthode CLI) Utilisez la commande show route pour déterminer quand la route de secours est installée. ● C'est la table de routage avant la défaillance du FAI primaire. pix# show route Codes: C − connected, S − static, I − IGRP, R − RIP, M − mobile, B − BGP D − EIGRP, EX − EIGRP external, O − OSPF, IA − OSPF inter area N1 − OSPF NSSA external type 1, N2 − OSPF NSSA external type 2 E1 − OSPF external type 1, E2 − OSPF external type 2, E − EGP i − IS−IS, L1 − IS−IS level−1, L2 − IS−IS level−2, ia − IS−IS inter area * − candidate default, U − per−user static route, o − ODR P − periodic downloaded static route Gateway of last resort is 10.200.159.1 to network 0.0.0.0 S 64.101.0.0 255.255.0.0 [1/0] via 172.22.1.1, inside C 172.22.1.0 255.255.255.0 is directly connected, inside C 10.250.250.0 255.255.255.248 is directly connected, backup C 10.200.159.0 255.255.255.248 is directly connected, outside S* 0.0.0.0 0.0.0.0 [1/0] via 10.200.159.1, outside ● Après la défaillance du FAI primaire, la route statique est retirée et la route de secours est installée dans la table de routage: pix(config)# show route Gateway of last resort is 10.250.250.1 to network 0.0.0.0 S* 0.0.0.0 0.0.0.0 [254/0] via 10.250.250.1, backup ccnp_cch
Confirmer que la route de secours est installée (méthode ASDM) Exécutez ces étapes pour confirmer avec l'ASDM que la route de secours est installée dans la table de routage. 1. Cliquez sur Monitoring puis sur Routing. 2. Depuis l'arbre Routing choisissez Routes. ● Voici la table de routage avant que le FAI primaire soit défaillant. La route DEFAULT pointe vers 10.0.0.2 à travers l'interface outside. ccnp_cch
Résolution de problèmes ● Après la défaillance de l'opérateur primaire, la route est retirée et la route de secours est installée. la route DEFAULT pointe maintenant vers 192.168.1.2 à travers l'interface de secours. Résolution de problèmes Commandes debug ● debug sla monitor trace - Affiche la progression de l'opération écho. - L'objet surveillé (Passerelle FAI primaire) est up et les Echos ICMP réussissent. IP SLA Monitor(123) Scheduler: Starting an operation IP SLA Monitor(123) echo operation: Sending an echo operation IP SLA Monitor(123) echo operation: RTT=3 OK IP SLA Monitor(123) echo operation: RTT=4 OK IP SLA Monitor(123) Scheduler: Updating result - L'objet surveillé (Passerelle FAI primaire) est down et les Echos ICMP échouent. IP SLA Monitor(123) echo operation: Timeout ccnp_cch
● debug sla monitor error - Affiche les erreurs que le processus superviseur SLA rencontre. - L'objet surveillé (Passerelle FAI primaire) est up et les Echos ICMP réussissent. %PIX−7−609001: Built local−host NP Identity Ifc:10.200.159.2 %PIX−7−609001: Built local−host outside:10.0.0.1 %PIX−6−302020: Built ICMP connection for faddr 10.0.0.1/0 gaddr 10.200.159.2/ %PIX−6−302021: Teardown ICMP connection for faddr 10.0.0.1/0 gaddr 10.200.159.2/ %PIX−7−609002: Teardown local−host NP Identity Ifc:10.200.159.2 duration 0:00: %PIX−7−609002: Teardown local−host outside:10.0.0.1 duration 0:00:00 - L'objet surveillé (Passerelle FAI primaire) est down et les Echos ICMP échouent. %PIX−7−609002: Teardown local−host outside:10.0.0.1 duration 0:00:02 %PIX−6−622001: Removing tracked route 0.0.0.0 0.0.0.0 10.200.159.1, distance !−−− 10.0.0.1 est indisponible ainsi la route vers le FAI Primaire est !--- retirée. La route surveillée est retirée sans nécessité Si la route est retirée sans nécessité, assurez-vous que votre cible de supervision est toujours disponible pour recevoir des Echo Request. De plus assurez-vous que l'état de votre cible surveillée est très liée à l'état de votre connexion avec le FAI primaire. Si vous choisissez une cible surveillée qui est plus loin que la passerelle du FAI, si une autre liaison ou un autre équipement dans la route sont défaillants ils peuvent interférer. Ce type de configuration peut faire que le superviseur SLA conclut que la connexion avec l'opérateur primaire est défaillante et entraine que l'appliance de sécurité bascule sur la liaison avec l'opérateur de secours. Par exemple si vous choisissez un routeur d'agence comme cible de supervision, la connexion du FAI avec l'agence peut être défaillante comme n'importe quelle liaison le long du chemin. Une fois que les Echo Request ICMP transmis par le système de surveillance échouent la route primaire surveillée est retirée même si la liaison avec le FAI primaire est toujours active. ccnp_cch
Dans cet exemple, la passerelle de l'opérateur primaire, est utilisée comme cible su- pervisée, qui est gérée par le FAI est située de l'autre côté de la liaison du FAI. Cette configuration assure que si les Echo Request ICMP transmis par la supervision SLA échouent la liaison avec le FAI est sûrement défaillante. ccnp_cch