学历|
高考
中考
考研
自考
成考
外语|
CET6
职称英语
商务英语
公共英语
资格|
公务员
报关员
银行
证券
司法
导游
教师
计算机|
等考
软考
工程|
一建
二建
造价师
监理师
咨询师
安全师
结构师
估价师
造价员
会计|
会计证
中级会计
注会
经济师
税务师
医学|
卫生资格
医师
药师
[更多]
思科ASA防火墙实现动态路由协议的全冗余
在最近的博文中,Carroll使用命令行解决了思科ASA和BGP对等操作问题。在这里,Carroll将会和大家讨论使用思科ASA防火墙实现动态路由协议(DRP)的全冗余。
如果你使用ASA来做冗余,那么当主用设备宕掉时,备用设备就会立即启用。在这种情况下,备用设备会假装活动设备的IP和MAC地址。如果你正在运行路由协议,你就会看到OSPF和EIGRP会被强制重新建立邻接。从而导致漫长的收敛时间和路由抖动。而ASA8.4有一个新功能可以解决这类问题。
实现动态路由协议的全冗余:思科ASA 8.4
在思科ASA 8.4版本中,有一个新的功能可以帮我们实现动态路由协议(DRP)中的全冗余。
全冗余工作在路由协议中, 并且同步冗余设备间的路由信息。这些信息都存储在备份设备的路由表中。
当冗余事件发生时,所有包都可以正常传输,因为第二个ASA和主ASA的规则一样,而且现在变成了主用的。一旦冗余发生,RIB的序列号或戳记就会增加,并且重收敛时间也会在新活动设备上开始。
接下来,该新活动设备和对等路由器形成邻接关系,并从其他对等体那学习到路由信息。这些路由和我们从全冗余上学习到路由差不多;然而,这些路由信息仍然会被加上更新过的戳记号并放在路由表中,替换之前活动设备中的旧路由。换句话说,旧的出去,新的进来。
你可以通过show failover命令来确认冗余设备之间路由信息的发送。从输出地突出部分你可以看到路由信息在活动设备和备份设备间的发送和接受。现在我们可以核实下路由表:
ciscoasa(config)# show failover
Failover On
Failover unit Secondary
Failover LAN Interface: failover GigabitEthernet0/0 (up)
Unit Poll frequency 300 milliseconds, holdtime 900 milliseconds
……
…….
Stateful Failover Logical Update Statistics
Link : failover GigabitEthernet0/0 (up)
Stateful Obj xmit xerr rcv rerr
General 2870 0 2644 0
sys cmd 2572 0 2572 0
up time 0 0 0 0
RPC services 0 0 0 0
TCP conn 0 0 0 0
UDP conn 0 0 0 0
ARP tbl 242 0 33 0
Xlate_Timeout 0 0 0 0
IPv6 ND tbl 0 0 0 0
VPN IKEv1 SA 0 0 0 0
VPN IKEv1 P2 0 0 0 0
VPN IKEv2 SA 0 0 0 0
VPN IKEv2 P2 0 0 0 0
VPN CTCP upd 0 0 0 0
VPN SDI upd 0 0 0 0
VPN DHCP upd 0 0 0 0
SIP Session 0 0 0 0
Route Session 56 0 39 0
SIA data 0 0 0 0
Logical Update Queue Information
Cur Max Total
Recv Q: 0 7 4304
Xmit Q: 0 1 23765
如果你使用ASA来做冗余,那么当主用设备宕掉时,备用设备就会立即启用。在这种情况下,备用设备会假装活动设备的IP和MAC地址。如果你正在运行路由协议,你就会看到OSPF和EIGRP会被强制重新建立邻接。从而导致漫长的收敛时间和路由抖动。而ASA8.4有一个新功能可以解决这类问题。
实现动态路由协议的全冗余:思科ASA 8.4
在思科ASA 8.4版本中,有一个新的功能可以帮我们实现动态路由协议(DRP)中的全冗余。
全冗余工作在路由协议中, 并且同步冗余设备间的路由信息。这些信息都存储在备份设备的路由表中。
当冗余事件发生时,所有包都可以正常传输,因为第二个ASA和主ASA的规则一样,而且现在变成了主用的。一旦冗余发生,RIB的序列号或戳记就会增加,并且重收敛时间也会在新活动设备上开始。
接下来,该新活动设备和对等路由器形成邻接关系,并从其他对等体那学习到路由信息。这些路由和我们从全冗余上学习到路由差不多;然而,这些路由信息仍然会被加上更新过的戳记号并放在路由表中,替换之前活动设备中的旧路由。换句话说,旧的出去,新的进来。
你可以通过show failover命令来确认冗余设备之间路由信息的发送。从输出地突出部分你可以看到路由信息在活动设备和备份设备间的发送和接受。现在我们可以核实下路由表:
ciscoasa(config)# show failover
Failover On
Failover unit Secondary
Failover LAN Interface: failover GigabitEthernet0/0 (up)
Unit Poll frequency 300 milliseconds, holdtime 900 milliseconds
……
…….
Stateful Failover Logical Update Statistics
Link : failover GigabitEthernet0/0 (up)
Stateful Obj xmit xerr rcv rerr
General 2870 0 2644 0
sys cmd 2572 0 2572 0
up time 0 0 0 0
RPC services 0 0 0 0
TCP conn 0 0 0 0
UDP conn 0 0 0 0
ARP tbl 242 0 33 0
Xlate_Timeout 0 0 0 0
IPv6 ND tbl 0 0 0 0
VPN IKEv1 SA 0 0 0 0
VPN IKEv1 P2 0 0 0 0
VPN IKEv2 SA 0 0 0 0
VPN IKEv2 P2 0 0 0 0
VPN CTCP upd 0 0 0 0
VPN SDI upd 0 0 0 0
VPN DHCP upd 0 0 0 0
SIP Session 0 0 0 0
Route Session 56 0 39 0
SIA data 0 0 0 0
Logical Update Queue Information
Cur Max Total
Recv Q: 0 7 4304
Xmit Q: 0 1 23765
考试大温馨提示:本内容来源于网络,仅代表作者个人观点,与本站立场无关,仅供您学习交流使用。其中可能有部分文章经过多次转载而造成文章内容缺失、错误或文章作者不详等问题,请您谅解。如有侵犯您的权利,请联系我们,本站会立即予以处理。
视频学习
我考网版权与免责声明
① 凡本网注明稿件来源为"原创"的所有文字、图片和音视频稿件,版权均属本网所有。任何媒体、网站或个人转载、链接转贴或以其他方式复制发表时必须注明"稿件来源:我考网",违者本网将依法追究责任;
② 本网部分稿件来源于网络,任何单位或个人认为我考网发布的内容可能涉嫌侵犯其合法权益,应该及时向我考网书面反馈,并提供身份证明、权属证明及详细侵权情况证明,我考网在收到上述法律文件后,将会尽快移除被控侵权内容。
