如何配置华为USG多出口策略路由?
Asa/PIXStatic路由跟踪命令有效地解决了双ISP端口的问题。
存款问题:
静态路由没有固定的机制来决定是否使用它。即使跳转到静态路由存储路由表ASA,该路由表也会从自含路由的相关接口向下删除。
解决方案办公室:
静态路由跟踪功能提供了一种跟踪静态路由故障的方法。将备用路由加入路由表。示例:2个默认点从ISP的主ISP断开,备用ISP链路立即启用。使用ICMP跟踪,设置保持时间,没收回复,并识别链接关闭。立即删除静态路由。预先设置备用路由进入路由表。
注意:配置应该将icmp回复放在外部端口(icmp限制)。
Pix防火墙(配置)# slamonitorsla _ id #指定检测slaID。
pix firewall(config-SLA-monitor)#类型回应协议ipIcmpEcho target_ip接口
If_name #指定检测协议类型ICMP协议,并指定检测目标接口。
您必须ping地址、跟踪路由、删除备用路由并将其输入路由表。
pix firewall(config)# SLA monitor Schedule SLA _ id[life { forever | seconds }][start-time { hh:mm[:ss][month day | day month]| pending | now | After hh:mm:ss }][age out seconds][recurring]#指定立即按计划开始。
有必要写入表间轨道并将其路由到路由表中。
Pix防火墙(配置)# tracktrack _ id RTR SLA _ id可达性#指定TrackID并要求跟踪SlaID可达性。
Pix防火墙(配置)# route if _ name dest _ IP mask gateway _ IP[admin _ distance]track track _ I #设置默认路由并绑定TrackID。
配置实例:
sla监视器1
类型回应协议ipIcmpEcho 202.1.1.2接口dx
SLA监视器调度1现在开始时间(跟踪路由必须配置到路由表中)。
路线2 rtr 1可达性
路由dx 0 . 0 . 0 . 0 . 0 202.1.1.2 1 track 2(电信默认网关跟踪可达性)。
route wt 0 . 0 . 0 . 0 . 0 101.1.1.22(网通默认网关)。
配置202.1.1.2 ping (ICMP协议可以到达)等待RouteDX 0.0 . 0.0 202.1.1.2 1被第二条默认路由即RouteWT 0.0删除。001.1.1.2 2替换202.1.1.2恢复并更改DX 0.0 . 0.0 . 0.0 202.1.1.2。
特色我怀念家园项目全部由ASA解决。
用我的路由器SAA实现双端口备份通信配置,检查其连通性并跟踪中继路由选择。实现的想法并不巧妙
附件:PIX双端口ISP配置示例
网络拓扑图:
配置文件:
Pixfirewall#显示运行配置
:已保存
PIX版本7.2(1)
主机名pix
域名默认.域.无效
使能密码9jNfZuG3TC5tCVH0加密
名称
接口以太网0
如果在外面
安全级别0
ip地址10 . 200 . 159.2 255 . 255 . 255 . 248
接口以太网1
name if backup-named link backup ISP接口name-named security-level 0。
ip地址10 . 250 . 250 . 2 255 . 255 . 255 . 248
接口以太网2
如果在里面
安全级别100
ip地址172 . 22 . 1.163 255 . 255 . 255 . 0
接口以太网3
关机
没有名字如果
没有安全级别
没有ip地址
接口以太网4
关机
没有名字如果
没有安全级别
没有ip地址
接口以太网5
关机
没有名字如果
没有安全级别
没有ip地址
passwd 2KFQnbNIdI.2KYOU加密
ftp模式被动
dns服务器-组默认值DNS
域名默认.域.无效
寻呼机线路24
启用日志记录
日志缓冲调试
mtu外部1500
mtu备份1500
mtu内部1500
无故障转移
asdm映像闪存:/asdm521.bin
没有asdm历史记录启用
arp超时14400
全球(境外)1接口
全局(备份)1接口
nat(内部)1 172.16.1.0 255 . 255 . 255 . 0
-配置双ISP接口NAT以直接指定接口IP地址。
0 . 0 . 0 . 0 0 . 0 . 0 . 0 0以外的路线10 . 200 . 159.1 1轨道1
-配置跟踪默认静态路由,并指定管理距离为1。
-跟踪静态路由,然后路由表将被清除。
路由备份0 . 0 . 0 . 0 0 . 0 . 0 10 . 250 . 250 . 1 254
-配置备用默认静态路由。确保指定管理距离来跟踪静态默认路由。
-跟踪默认静态路由。跟踪路线的管理距离。
-跟踪默认静态路由。选择此路线进行跟踪。默认路由已从路由表中清除。
超时xlate 3:00:00
超时连接1:00:00半关闭0:10:00 UDP 0:02:00 icmp 0:00:02
超时sun RPC 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
超时sip 0:30:00 sip _ media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
uauth 0:05:00绝对超时
用户名cisco密码ffIRPGpDSOJh9YLq加密
超时5
ssh超时5
控制台超时0
类别映射检查_默认
匹配默认-检查-流量
策略映射类型检查dns预设_ dns _映射
因素
消息长度最大值512
策略-映射全局_策略
类别检查_默认
检查dns预置_dns_map
检查ftp
检查h323 h225
检查h323 ras
检查netbios
检查rsh
检查rtsp
检查skinny
检查esmtp
检查sqlnet
检查sunrpc
检查tftp
检查sip
检查xdmcp
服务策略全局_策略全局
提示主机名上下文
加密校验和:a 4a 0 e 9 be 4593 ad 43 BC 17a 1 cc 25 e 32 DC 2:end