思科ASA防火墙建议:使用思科ASA 8.4实现动态路由协议的全冗余(上)

日期: 2011-04-20 作者:Brandon Carroll翻译:潘天禄 来源:TechTarget中国 英文

本文是Fast Packet博主Brandon Carroll提供的关于思科ASA防火墙的建议。在最近的博文中,Carroll使用命令行解决了思科ASA和BGP对等操作问题。在这里,Carroll将会和大家讨论使用思科ASA防火墙实现动态路由协议(DRP)的全冗余。   如果你使用ASA来做冗余,那么当主用设备宕掉时,备用设备就会立即启用。

在这种情况下,备用设备会假装活动设备的IP和MAC地址。如果你正在运行路由协议,你就会看到OSPF和EIGRP会被强制重新建立邻接。从而导致漫长的收敛时间和路由抖动。而ASA8.4有一个新功能可以解决这类问题。

  实现动态路由协议的全冗余:思科ASA 8.……

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

本文是Fast Packet博主Brandon Carroll提供的关于思科ASA防火墙的建议。在最近的博文中,Carroll使用命令行解决了思科ASA和BGP对等操作问题。在这里,Carroll将会和大家讨论使用思科ASA防火墙实现动态路由协议(DRP)的全冗余。

  如果你使用ASA来做冗余,那么当主用设备宕掉时,备用设备就会立即启用。在这种情况下,备用设备会假装活动设备的IP和MAC地址。如果你正在运行路由协议,你就会看到OSPF和EIGRP会被强制重新建立邻接。从而导致漫长的收敛时间和路由抖动。而ASA8.4有一个新功能可以解决这类问题。

  实现动态路由协议的全冗余:思科ASA 8.4

  在思科ASA 8.4版本中,有一个新的功能可以帮我们实现动态路由协议(DRP)中的全冗余。

  全冗余工作在路由协议中, 并且同步冗余设备间的路由信息。这些信息都存储在备份设备的路由表中。

  当冗余事件发生时,所有包都可以正常传输,因为第二个ASA和主ASA的规则一样,而且现在变成了主用的。一旦冗余发生,RIB的序列号或戳记就会增加,并且重收敛时间也会在新活动设备上开始。

  接下来,该新活动设备和对等路由器形成邻接关系,并从其他对等体那学习到路由信息。这些路由和我们从全冗余上学习到路由差不多;然而,这些路由信息仍然会被加上更新过的戳记号并放在路由表中,替换之前活动设备中的旧路由。换句话说,旧的出去,新的进来。

  你可以通过show failover命令来确认冗余设备之间路由信息的发送。从输出地突出部分你可以看到路由信息在活动设备和备份设备间的发送和接受。现在我们可以核实下路由表:

ciscoasa(config)# show failover

Failover On

Failover unit Secondary

Failover LAN Interface: failover GigabitEthernet0/0 (up)

Unit Poll frequency 300 milliseconds, holdtime 900 milliseconds

……

…….

Stateful Failover Logical Update Statistics

        Link : failover GigabitEthernet0/0 (up)

        Stateful Obj          xmit       xerr       rcv        rerr

        General               2870       0          2644       0

        sys cmd               2572         0          2572       0

        up time        0          0          0          0

        RPC services    0          0          0          0

        TCP conn       0          0          0          0

        UDP conn        0          0          0          0

        ARP tbl               242        0          33         0

        Xlate_Timeout         0          0          0          0

        IPv6 ND tbl           0          0          0          0

        VPN IKEv1 SA   0          0          0          0

        VPN IKEv1 P2          0          0          0          0

        VPN IKEv2 SA          0          0          0          0

        VPN IKEv2 P2          0          0          0          0

        VPN CTCP upd    0          0          0          0

        VPN SDI upd           0          0          0          0

        VPN DHCP upd    0          0          0          0

        SIP Session           0          0          0          0

        Route Session      56              0          39         0

        SIA data              0          0          0          0

        Logical Update Queue Information

                        Cur     Max     Total

        Recv Q:        0       7       4304

        Xmit Q:         0       1       23765

那如果想要查看路由表的序列号,以及增加的路由信息应该用什么样的命令呢?(点击阅读)

作者

Brandon Carroll
Brandon Carroll

翻译

潘天禄
潘天禄

相关推荐