asapix的双出口问题解决方案

ASA+PIX的双出口问题解决方案Asa/PIX的StaticRouteTracking命令可以有效解决双ISP出口的问题

存在问题：

静态路由没有固定的机制来决定是否可用，即使下一跳不可达，静态路由还是会存在路由表里，是有当ASA自己的和这条路由相关接口down了，才会从路由表里删除

解决办法：

StaticRouteTracking这个feature提供一种方法来追踪静态路由，当主路由失效时可以安装备份路由进路由表，例如：2条缺省指向不同ISP，当主的ISP断了，可以立即启用备用ISP链路，它是使用ICMP来进行追踪的，如果在一定holdtime没有收到reply的话就认为这条链路down了，就会立即删除该静态路由，预先设置的备份路由就会进入路由表。

注意：配置时要在outside口上放开icmpreply（如果打开了icmp限制）

pixFirewall(config)#slamonitorsla_id

＃指定检测的slaID

Pixfirewall(config-sla-monitor)#typeechoprotocolipIcmpEchotarget_ipinterface

if_name

＃指定检测的协议类型为ICMP协议，并指定检测目的地址和接口

这个必须是个可以ping通的地址，当这个地址不可用时，track跟踪的路由就会被删除，备份路由进路由表

pixFirewall(config)#slamonitorschedulesla_id[life{forever|seconds}][start-time{hh:mm[:ss][monthday|daymonth]|pending|now|afterhh:mm:ss}][ageoutseconds][recurring]

＃指定一个Schedule，一般会是startnow

必须要写时间表，不然track的路由进不了路由表

pixFirewall(config)#tracktrack_id

rtrsla_id

reachability

＃指定一个TrackID，并要求追踪SlaID的可达性

pixFirewall(config)#routeif_namedest_ipmaskgateway_ip[admin_distance]tracktrack_i

＃设定默认路由，并绑定一个TrackID

配置实例：

slamonitor1

typeechoprotocolipIcmpEchointerfacedx

slamonitorschedule1start-timenow（必须配置，不然track的路由进不了路由表）

track2rtr1reachability

routedx1track2(电信默认网关，会追踪地址的可达性)

routewt2(网通默认网关)

当配置的ping不通(ICMP协议不能Reachability)的时候，routedx1就会在路由表里删除，并由第二条默认路由即routewt2取代，当恢复后，又会重新变为dx1

这个feature我想大家在很多项目里都会遇到,ASA可以有效解决！

＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝

这与我们用路由器实现双出口备份是一样的，通过配置SAA，检查其连通性。并跟踪这结果。来对路由进行选择，实现思路非常精巧！～

附：PIX双出口ISP配置实例

网络拓扑图：

配置文件：

Pixfirewall#showrunning-config

:Saved

:

PIXVersion7.2(1)

!

hostnamepix

domain-namedefault.domain.invalid

enablepassword9jNfZuG3TC5tCVH0encrypted

names

!

interfaceEthernet0

nameifoutside

security-level0

ipaddress48

!

interfaceEthernet1

nameifbackup!命名链接备份ISP接口的接口名字，随便起名字的security-level0

ipaddress48

!

interfaceEthernet2

nameifinside

security-level100

ipaddress63

!

interfaceEthernet3

shutdown

nonameif

nosecurity-level

noipaddress

!

interfaceEthernet4

shutdown

nonameif

nosecurity-level

noipaddress

!

interfaceEthernet5

shutdown

nonameif

nosecurity-level

noipaddress

!

passwd2KFQnbNIdI.2KYOUencrypted

ftpmodepassive

dnsserver-groupDefaultDNS

domain-namedefault.domain.invalid

pagerlines24

loggingenable

loggingbuffereddebugging

mtuoutside1500

mtubackup1500

mtuinside1500

nofailover

asdmimageflash:/asdm521.bin

noasdmhistoryenable

arptimeout14400

global(outside)1interface

global(backup)1interface

nat(inside)1

!配置双ISP接口的NAT，都直接指定接口而不是IP地址

routeoutside1track1

!配置被追踪的默认静态路由，并指定管理距离为1.

!被追踪的静态路由如果追踪成功则在路由表中，否则从路由表中清除

routebackup254

!配置备份的默认静态路由，一定要指定的管理距离大于被追踪的静态默认路由

!当被追踪默认静态路由追踪成功时，则选用被追踪路由，因为其管理距离小

!当被追踪的默认静态路由追踪不成功时，则选用本条路由，因为被追踪的默认路由已从路由表中清除.

timeoutxlate3:00:00

timeoutconn1:00:00half-closed0:10:00udp0:02:00icmp0:00:02

timeoutsunrpc0:10:00h3230:05:00h2251:00:00mgcp0:05:00mgcp-pat0:05:00

timeoutsip0:30:00sip_media0:02:00sip-invite0:03:00sip-disconnect0:02:00

timeoutuauth0:05:00absolute

usernameciscopasswordffIRPGpDSOJh9YLqencrypted

httpserverenable

httpinside

nosnmp-serverlocation

nosnmp-servercontact

snmp-serverenabletrapssnmpauthenticationlinkuplinkdowncoldstart

slamonitor123

typeechoprotocolipIcmpEchointerfaceoutside

num-packets3

frequency10

slamonitorschedule123lifeforeverstart-timenow

!配置SLAMonitor，设定ID为123；指定协议和监测目的IP地址及接口

!并且设置了包的个数和频率为10秒

!配置了SLAMonitorID为123的生命期和开始的时间

!

track1rtr123reachability

!配置TrackID为1的RTR，要求判断标准为可达性.

!与前面的命令routeoutside1track1相对应

telnettimeout5

sshtimeout5

consoletimeout0

!

class-mapinspection_default

matchdefault-inspection-traffic

!

!

policy-maptypeinspectdnspreset_dns_map

parameters

message-lengthmaximum512

policy-mapglobal_policy

classinspection_default

inspectdnspreset_dns_map

inspectftp

inspecth323h225

inspecth323ras

inspectnetbios

inspectrsh

inspectrtsp

inspectski