Route-Tracking mit der Cisco ASA/PIX

On By karsteni

In der aktuellen Kursversion des SNPA (Securing Networks with PIX and ASA) wird zwar eine statische Route mit Route-Tracking gezeigt, aber leider nicht, welche Konfiguration dazu notwendig ist.
Beim Route-Tracking kann das Vorhandensein einer statischen Route in der Routingtabelle von der Erreichbarkeit eines IP-Ziels abhängig gemacht werden. Diese Funktion ist im Cisco IOS zwar schon länger vorhanden, in der PIX/ASA aber erst in Version 7.2(1) dazugekommen.

In diesem Beispiel soll die Verbindung über das Interface “backup” zum ISP2 genutzt werden, wenn das Internet über das Interface “outside” zum ISP1 nicht erreichbar ist.

Die komplette Konfiguration:

route outside 0.0.0.0 0.0.0.0 192.0.2.100 1 track 192
route backup  0.0.0.0 0.0.0.0 192.0.2.200 10
!
sla monitor 1
 type echo protocol ipIcmpEcho 192.0.2.254 interface outside
  num-packets 3
  threshold 2500
  timeout 5000
  frequency 60
  request-data-size 100
sla monitor schedule 1 life forever start-time now
!
track 192 rtr 1 reachability

Die Erläuterung der Befehle:
Es werden zwei Default-Routen konfiguriert:

route outside 0.0.0.0 0.0.0.0 192.0.2.100 1 track 192
route backup  0.0.0.0 0.0.0.0 192.0.2.200 10

Beide Routen müssen für das Tracking dasselbe Ziel und dieselbe Subnet-Mask verwenden. Weiterhin muß die Route über das Backup-Interface eine größere administrative Distanz haben, da ansonsten die Backup-Route installiert werden würde. Für die primäre Route wird das Tracking-Objekt mit der ID 192 aktiviert.

Die Tracking-ID wird mit einem SLA Monitoringprozess (hier mit der ID 1) verbunden. Aktuell kann nur die Erreichbarkeit überprüft werden:

track 192 rtr 1 reachability

Der Monitoringprozess wird konfiguriert:

sla monitor 1
 type echo protocol ipIcmpEcho 192.0.2.254 interface outside
  frequency 60
  num-packets 3
  request-data-size 100
  threshold 2500
  timeout 5000

Das Monitoring arbeitet per ICMP Echo, pingt also regelmäßig ein Ziel an und prüft, ob die Antwortpakete zurückkommen. Die Pakete werden über das outside-Interface mit dessen IP-Adresse als Source gesendet.
Alle 60 Sekunden werden 3 ICMP Echo-Requests mit einer ICMP-Payload von 100 Bytes gesendet (das ergibt eine Paketgröße von 136 Byte). Threshold und Timeout sind 2,5 bzw. 5 Sekunden. Auch wenn die Antwortzeit über dem Threshold liegt, gilt die Erreichbarkeit weiterhin als gegeben und die Route bleibt in der Routing-Tabelle installiert.

Der Monitoringprozess wird gestartet:

sla monitor schedule 1 life forever start-time now

Der Prozess soll nicht automatisch beendet werden und ab sofort starten.

Hiermit ist die Konfiguration komplett.

Default-Routen, die per DHCP bzw. PPPoE gelernt wurden, können auch getrackt werden. Auch hier muß man beachten, daß die Backup-Route eine höhere administrative Distanz als die primäre Route hat:

interface GigabitEthernet 0/0
 description Primaeres Interface
 dhcp client route track 192
 ip addresss dhcp setroute

interface GigabitEthernet 0/2
 description Sekundaeres Interface
 dhcp client route distance 10
 ip addresss dhcp setroute

Selbstverständlich kann das Tracking auch im ASDM konfiguriert werden.

  • Beim Hinzufügen einer statischen Route:
    Cisco ASA: Route Tracking
  • Die dazugehörigen SLA-Optionen:
    Cisco ASA: Route Tracking
  • Das Tracking für DHCP in den Interface-Optionen:
    Cisco ASA: Route Tracking

Die Überwachung der Funktion ist über die folgenden Befehle möglich:

asa723# show track
Track 192
  Response Time Reporter 1 reachability
  Reachability is Up
  2 changes, last change 1w4d
  Latest operation return code: OK
  Latest RTT (millisecs) 1
  Tracked by:
    STATIC-IP-ROUTING 0

asa723# show sla monitor configuration
SA Agent, Infrastructure Engine-II
Entry number: 1
Owner:
Tag:
Type of operation to perform: echo
Target address: 192.0.2.254
Interface: outside
Number of packets: 3
Request size (ARR data portion): 100
Operation timeout (milliseconds): 5000
Type Of Service parameters: 0x0
Verify data: No
Operation frequency (seconds): 60
Next Scheduled Start Time: Start Time already passed
Group Scheduled : FALSE
Life (seconds): Forever
Entry Ageout (seconds): never
Recurring (Starting Everyday): FALSE
Status of entry (SNMP RowStatus): Active
Enhanced History:


asa723# show sla monitor operational-state
Entry number: 1
Modification time: 18:45:39.432 CEST Mon Sep 3 2007
Number of Octets Used by this Entry: 1480
Number of operations attempted: 16982
Number of operations skipped: 0
Current seconds left in Life: Forever
Operational state of entry: Active
Last time this entry was reset: Never
Connection loss occurred: FALSE
Timeout occurred: FALSE
Over thresholds occurred: FALSE
Latest RTT (milliseconds): 1
Latest operation start time: 13:46:39.448 CEST Sat Sep 15 2007
Latest operation return code: OK
RTT Values:
RTTAvg: 1       RTTMin: 1       RTTMax: 1
NumOfRTT: 3     RTTSum: 3       RTTSum2: 3

One Reply to “Route-Tracking mit der Cisco ASA/PIX”

  1. Danke!
    Genau das kann ich brauchen. Die Funktion kannte ich noch nicht. Ich denke ich werde jetzt von meiner Version 7.1 aufrüsten.

    Reply

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.