route outside 0.0.0.0 0.0.0.0 192.0.2.100 1 track 192\nroute backup 0.0.0.0 0.0.0.0 192.0.2.200 10\n!\nsla monitor 1\n type echo protocol ipIcmpEcho 192.0.2.254 interface outside\n num-packets 3\n threshold 2500\n timeout 5000\n frequency 60\n request-data-size 100\nsla monitor schedule 1 life forever start-time now\n!\ntrack 192 rtr 1 reachability\n<\/code><\/pre>\nDie Erl\u00e4uterung der Befehle:<\/strong>
\nEs werden zwei Default-Routen konfiguriert:<\/p>\nroute outside 0.0.0.0 0.0.0.0 192.0.2.100 1 track 192\nroute backup 0.0.0.0 0.0.0.0 192.0.2.200 10\n<\/code><\/pre>\nBeide Routen m\u00fcssen f\u00fcr das Tracking dasselbe Ziel und dieselbe Subnet-Mask verwenden. Weiterhin mu\u00df die Route \u00fcber das Backup-Interface eine gr\u00f6\u00dfere administrative Distanz haben, da ansonsten die Backup-Route installiert werden w\u00fcrde. F\u00fcr die prim\u00e4re Route wird das Tracking-Objekt mit der ID 192 aktiviert.<\/p>\n
Die Tracking-ID wird mit einem SLA Monitoringprozess (hier mit der ID 1) verbunden. Aktuell kann nur die Erreichbarkeit \u00fcberpr\u00fcft werden:<\/p>\n
track 192 rtr 1 reachability<\/code><\/pre>\nDer Monitoringprozess wird konfiguriert:<\/p>\n
sla monitor 1\n type echo protocol ipIcmpEcho 192.0.2.254 interface outside\n frequency 60\n num-packets 3\n request-data-size 100\n threshold 2500\n timeout 5000<\/code><\/pre>\nDas Monitoring arbeitet per ICMP Echo, pingt also regelm\u00e4\u00dfig ein Ziel an und pr\u00fcft, ob die Antwortpakete zur\u00fcckkommen. Die Pakete werden \u00fcber das outside-Interface mit dessen IP-Adresse als Source gesendet.
\nAlle 60 Sekunden werden 3 ICMP Echo-Requests mit einer ICMP-Payload von 100 Bytes gesendet (das ergibt eine Paketgr\u00f6\u00dfe von 136 Byte). Threshold und Timeout sind 2,5 bzw. 5 Sekunden. Auch wenn die Antwortzeit \u00fcber dem Threshold liegt, gilt die Erreichbarkeit weiterhin als gegeben und die Route bleibt in der Routing-Tabelle installiert.<\/p>\n
Der Monitoringprozess wird gestartet:<\/p>\n
sla monitor schedule 1 life forever start-time now<\/code><\/pre>\nDer Prozess soll nicht automatisch beendet werden und ab sofort starten.<\/p>\n
Hiermit ist die Konfiguration komplett.<\/p>\n
Default-Routen, die per DHCP bzw. PPPoE gelernt wurden, k\u00f6nnen auch getrackt werden. Auch hier mu\u00df man beachten, da\u00df die Backup-Route eine h\u00f6here administrative Distanz als die prim\u00e4re Route hat:<\/p>\n
interface GigabitEthernet 0\/0\n description Primaeres Interface\n dhcp client route track 192\n ip addresss dhcp setroute\n\ninterface GigabitEthernet 0\/2\n description Sekundaeres Interface\n dhcp client route distance 10\n ip addresss dhcp setroute\n<\/code><\/pre>\nSelbstverst\u00e4ndlich kann das Tracking auch im ASDM konfiguriert werden.<\/p>\n
\n- Beim Hinzuf\u00fcgen einer statischen Route:
\n![\"Cisco](\"https:\/\/blog.iwen.de\/wp-content\/uploads\/2007\/09\/addroute.png\")
<\/li>\n - Die dazugeh\u00f6rigen SLA-Optionen:
\n![\"Cisco](\"https:\/\/blog.iwen.de\/wp-content\/uploads\/2007\/09\/options.png\")
<\/li>\n - Das Tracking f\u00fcr DHCP in den Interface-Optionen:
\n![\"Cisco](\"https:\/\/blog.iwen.de\/wp-content\/uploads\/2007\/09\/interface.png\")
<\/li>\n<\/ul>\nDie \u00dcberwachung der Funktion ist \u00fcber die folgenden Befehle m\u00f6glich:<\/p>\n
asa723# show track\nTrack 192\n Response Time Reporter 1 reachability\n Reachability is Up\n 2 changes, last change 1w4d\n Latest operation return code: OK\n Latest RTT (millisecs) 1\n Tracked by:\n STATIC-IP-ROUTING 0\n<\/code><\/pre>\nasa723# show sla monitor configuration\nSA Agent, Infrastructure Engine-II\nEntry number: 1\nOwner:\nTag:\nType of operation to perform: echo\nTarget address: 192.0.2.254\nInterface: outside\nNumber of packets: 3\nRequest size (ARR data portion): 100\nOperation timeout (milliseconds): 5000\nType Of Service parameters: 0x0\nVerify data: No\nOperation frequency (seconds): 60\nNext Scheduled Start Time: Start Time already passed\nGroup Scheduled : FALSE\nLife (seconds): Forever\nEntry Ageout (seconds): never\nRecurring (Starting Everyday): FALSE\nStatus of entry (SNMP RowStatus): Active\nEnhanced History:\n\n<\/code><\/pre>\nasa723# show sla monitor operational-state\nEntry number: 1\nModification time: 18:45:39.432 CEST Mon Sep 3 2007\nNumber of Octets Used by this Entry: 1480\nNumber of operations attempted: 16982\nNumber of operations skipped: 0\nCurrent seconds left in Life: Forever\nOperational state of entry: Active\nLast time this entry was reset: Never\nConnection loss occurred: FALSE\nTimeout occurred: FALSE\nOver thresholds occurred: FALSE\nLatest RTT (milliseconds): 1\nLatest operation start time: 13:46:39.448 CEST Sat Sep 15 2007\nLatest operation return code: OK\nRTT Values:\nRTTAvg: 1 RTTMin: 1 RTTMax: 1\nNumOfRTT: 3 RTTSum: 3 RTTSum2: 3\n\n<\/code><\/pre>\n","protected":false},"excerpt":{"rendered":"In der aktuellen Kursversion des SNPA (Securing Networks with PIX and ASA) wird zwar eine statische Route mit Route-Tracking gezeigt, aber leider nicht, welche Konfiguration dazu notwendig ist. Beim Route-Tracking kann das Vorhandensein einer statischen Route in der Routingtabelle von der Erreichbarkeit eines IP-Ziels abh\u00e4ngig gemacht werden. Diese Funktion ist im Cisco IOS zwar schon <\/p>\n