Ip sla cisco настройка

Материал из Xgu.ru

IP SLA позволяет создавать тесты.

Один из самых простых примеров теста: проверка доступности ресурса с помощью простого “ping” (отправки ICMP-запроса и ожидания ICMP-ответа).

Тесты также могут быть и более сложными. Например, проверка качества канала по таким характеристикам как jitter и delay.

Содержание

[править] Параметры

Рекомендации Cisco по настройке параметров (frequency, timeout, threshold) для тестов IP SLA UDP jitter:

  • (frequency seconds) > ((timeout milliseconds) + N)
  • (timeout milliseconds) > (threshold milliseconds)

где N = (num-packets number-of-packets) * (interval interpacket-interval)

Рекомендации Cisco по настройке параметров (frequency, timeout, threshold) для других тестов IP SLA:

  • (frequency seconds) > (timeout milliseconds) > (threshold milliseconds)

[править] Threshold

Параметр threshold используется для указания верхнего порогового значения времени.

Значение по умолчанию 5000ms. Значение threshold не должно превышать значение параметра timeout.

Значение параметра threshold для операции:

  • IP SLA UDP jitter:
  • устанавливает верхнее пороговое значение для среднего значения jitter
  • для других операций:
    • устанавливает верхнее пороговое значение для измерения RTT (round-trip time)
    • IP SLA, соответственно, высчитывает количество раз, когда среднее значение jitter или RTT превышало указанное значение threshold.

      [править] Responder

      В зависимости от теста, на стороне получателя может быть, или любое устройство с соответствующим сервисом, или оборудование Cisco.

      IP SLA, за время существования, сменил несколько вариантов настройки. Поэтому, настройка в другой версии IOS может отличаться от указанной.

      [править] Операции

      [править] ICMP echo

      Часто такого рода тесты привязываются с помощью track к другим объектам. Например, к статическим маршрутам.

      Полезно

      Узнать IP — адрес компьютера в интернете

      Онлайн генератор устойчивых паролей

      Онлайн калькулятор подсетей

      Калькулятор инсталляции IP — АТС Asterisk

      Руководство администратора FreePBX на русском языке

      Руководство администратора Cisco UCM/CME на русском языке

      Серверные решения

      Телефония

      FreePBX и Asterisk

      Настройка программных телефонов

      Корпоративные сети

      Протоколы и стандарты

      Популярное и похожее

      Простой SSH туннель с помощью Putty

      Прокси сервер – что это, виды и зачем нужен?

      Прокси сервер – что это, виды и зачем нужен?

      Базовая настройка коммутатора Juniper

      Настройка Static Route Tracking с помощью IP SLA

      Отслеживание статического маршрута

      Здравствуй дорогой друг! В этой статье мы хотим рассказать про базовую настройку отслеживания статического маршрута Static Route Tracking, используя IP SLA.

      В современной сетевой среде избыточность является одним из наиболее важных аспектов, будь то на стороне локальной сети LAN или на стороне глобальной сети WAN. В этой статье мы рассмотрим избыточность WAN с несколькими каналами WAN, оканчивающимися на одном маршрутизаторе.

      Лучший и самый простой способ достижения избыточности WAN на устройствах Cisco — это использовать надежные резервные статические маршруты с отслеживанием IP SLA.

      IP SLA — это функция, включенная в программное обеспечение Cisco IOS, которая позволяет администраторам анализировать уровни обслуживания для IP приложений и сервисов, проверять QoS на соответствие параметрам, и помогать обнаруживать и локализовать неисправности. IP SLA использует технологию активного мониторинга трафика (когда тестовые пакеты добавляются в активное соединение) для мониторинга непрерывного трафика в сети. Маршрутизаторы Cisco предоставляют собой так называемые IP SLA Responder‘ы, которые обеспечивают точность измеренных данных в сети. IP SLA собирает информацию об задержке, джиттере, потере пакетов, их пути, последовательности отправки и многого другого.

      С IP SLA маршрутизаторы и коммутаторы выполняют периодические измерения. Количество и тип доступных измерений огромны, и в этой статье мы рассмотрим только функцию ICMP ECHO. Сам по себе IP SLA — очень большая тема для обсуждения.

      Настройка

      Рассмотрим следующую схему с двумя провайдерами.

      На рисунке наше устройство Cisco подключено к двум каналам WAN — ISP1 и ISP2. Наиболее распространенная настройка, которую мы используем в повседневной жизни, — это настройка маршрутов по умолчанию на маршрутизаторе Cisco, указывающих на соответствующие IP-адреса следующего хопа (next-hop), как показано ниже:

      Как вы могли заметить административное расстояние для дополнительного маршрута, указывающего на ISP2, увеличено до 10, чтобы он стал резервным каналом.

      Вышеуказанная конфигурация с двумя плавающими статическими маршрутами частично выполняет наше требование, поскольку она будет работать только в сценарии, когда интерфейсы маршрутизаторов, подключенные к каналу WAN, находятся в состоянии UP/UP или DOWN/DOWN. Но во многих ситуациях мы видим, что, хотя линки остаются работоспособными, но мы не можем достичь шлюза, это обычно происходит, когда проблема находится на стороне провайдера.

      В таких случаях IP SLA становится лучшим другом инженера.

      Используя IP SLA, Cisco IOS получает возможность использовать эхо-запросы ICMP для идентификации, когда канал WAN отключается на удаленном конце, и, следовательно, позволяет инициировать резервное соединение с альтернативного порта.

      IP SLA настроен на пинг цели, такой как общедоступный IP-адрес или адрес в корпоративной сети, или ваш IP-адрес следующего хопа на маршрутизаторе ISP. Пинги маршрутизируются только с основного интерфейса.

      Пример конфигурации IP SLA для генерации пинга icmp, нацеленного на IP-адрес следующего перехода ISP1:

      Обратите внимание, что команды Cisco IP SLA меняются в зависимости от версии IOS, и чтобы узнать точную команду для вашей версии IOS, проверьте документацию Cisco. Вышеприведенные команды предназначены для IOS 12.4(4) T, 15.(0)1M и более поздних выпусков.

      Приведенная выше конфигурация определяет и запускает IP SLA.

      • ICMP-echo отправляет эхо-пакет ICMP на IP следующего хопа 2.2.2.2 каждые 3 секунды, как определено параметром “frequency”.
      • “Timeout” устанавливает время (в миллисекундах), в течение которого операция SLA Cisco IOS IP ожидает ответа от своего пакета запроса.
      • “Threshold” устанавливает порог, который генерирует событие реакции и хранит хронологическую информацию для операции SLA Cisco IOS IP.

      После определения операции IP SLA наш следующий шаг — определить объект, который отслеживает SLA. Это можно сделать с помощью IOS Track Object, как показано ниже:

      Приведенная выше команда создает трек, который будет отслеживать состояние операции IP SLA. Если от IP-адреса следующего хопа нет откликов на пинг, трек отключится и начнет работать, когда SLA начнет снова получать пинг-ответ.

      Чтобы проверить состояние трека, используйте команду show track, как показано ниже:

      Последним шагом в конфигурации надежного статического маршрута IP SLA является добавление оператора отслеживания к маршрутам по умолчанию, указывающим на маршрутизаторы ISP, как показано ниже:

      Добавив после адрес ключевое слово track и его номер, мы указываем, что только если состояние настроенного трека будет Up. Следовательно, если статус трека Down, то вторичный маршрут будет использоваться для пересылки всего трафика.

      Готово! Мы успешно настроили автопереключение между двумя провайдерами при помощи IP SLA с icmp-echo

      Пожалуйста, расскажите почему?

      Нам жаль, что статья не была полезна для вас 🙁 Пожалуйста, если не затруднит, укажите по какой причине? Мы будем очень благодарны за подробный ответ. Спасибо, что помогаете нам стать лучше!

      Подпишитесь на нашу еженедельную рассылку, и мы будем присылать самые интересные публикации 🙂 Просто оставьте свои данные в форме ниже.

      Рано или поздно, но каждая компания сталкивается с проблемой выхода из строя канала связи с интернет. И сразу же после этого встает вопрос об организации резервного канала. Но какие настройки нужно сделать для автоматического переключения на него в случае аварии?

      В этой статье описаны настройки для маршрутизаторов Cisco 881 и подобных моделей. Если у вас Cisco ASA, то настройки для них написаны в статье Dual WAN на Cisco ASA.

      Один из самых простых и эффективных способов для маршрутизаторов Cisco – использование ip sla monitor. Устройство будет отслеживать доступность основного интернет провайдера и, как только связь пропадет (некий адрес не будет отвечать на icmp запросы в течение нескольких секунд), начнет пересылать трафик через резервный канал.

      Рассмотрим настройки на примере стандартной модели маршрутизаторов для небольшого офиса Cisco 881.

      • В интерфейс 3 уровня Fa 4 подключен основной оператор связи;
      • В интерфейс Fa 0 (Vlan 1) подключена локальная сеть офиса;
      • В интерфейс FastEthernet 3 (Vlan 3) подключен резервный провайдер.

      Если у вас иная модель, то отличие будет только в названии интерфейсов, но не в сути настроек.

      Задача: настроить отказоустойчивое подключение к Интернет (dual wan).

      Шаг 1. Проверка маршрутов

      Проверяем текущие маршруты на устройстве. Для удобства командой sh run | inc route

      выводим строки текущей конфигурации, содержащие слово «route»

      R-DELTACONFIG-1# sh run | inc route
      Ip route 0.0.0.0 0.0.0.0 10.10.10.1 1

      Если переводить с языка устройства на «человеческий», то получится следующее:
      «Перенаправлять все пакеты, о которых я не знаю, в сторону интерфейса outside через шлюз 10.10.10.1»
      Маршрутизатор «знает» только о тех сетях, которые подключены к нему напрямую (connected) или для которых имеются подобные строки маршрутов.

      Шаг 2. Настройка для резервного провайдера

      На межсетевом экране уже настроен интерфейс outside (Ethernet 1/Vlan 2), к которому подключен Основной провайдер. В текущей конфигурации (просмотреть командой sh run) будут присутствовать подобные строки:

      R-DELTACONFIG-1# sh run

      interface Fastethernet 4
      ip address 10.10.10.2 255.255.255.252

      Добавим настройки для Резервного канала, который подключен к Ethernet 3/Vlan 3
      Для этого сначала необходимо создать Vlan для подключения резервного оператора, привязать его к одному из свободных портов и после этого задать ip адрес.

      Создание Vlan 3
      R-DELTACONFIG-1 #
      vlan database
      R-DELTACONFIG-1 (vlan)#
      vlan 3 name BACKUP_ISP

      Проверить текущие настройки можно командой sh current, не выходя из режима настройки Vlan. Достаточно, чтобы Vlan с порядковым номером 3 был в перечне существующих.

      R-DELTACONFIG-1 (vlan)#
      sh current

      Для привязки Vlan 3 к интерфейсу FastEthernet 3 необходимо выйти из режима настройки Vlan и далее зайти в обычный режим конфигурирования conf t. После этого привязать Vlan 3 к интерфейсу FastEthernet 3 и активировать его командой no shut.

      R-DELTACONFIG-1 (vlan)#
      exit
      conf t
      R-DELTACONFIG-1 (config)#
      interface FastEthernet 3
      switchport access vlan 3
      no shut

      А после создания задать ip адрес и активировать интерфейс командой no shut

      R-DELTACONFIG-1 (config)#
      interface Vlan 3
      ip address 20.20.20.2 255.255.255.252
      ip nat outside
      no shut

      Если все провода подключены и настройки корректны, то для маршрутизатора должен быть доступен шлюз Резервного провайдера.

      R-DELTACONFIG-1 # ping 20.20.20.1
      Type escape sequence to abort.
      Sending 5, 100-byte ICMP Echos to 20.20.20.1, timeout is 2 seconds:
      .
      Success rate is 100 percent (5/5) , round-trip min/avg/max = 1/2/4 ms

      Шаг 3. Настройка отслеживания доступности провайдера

      Для того чтобы маршрутизатор Cisco 881 следил за доступностью Основного канала, необходимо настроить функцию ip sla monitor. С ней через равные временные промежутки будет посылаться ping (icmp запрос) на адрес провайдера 1 (основного). Получение ответного пакета (icmp ответ) будет означать доступность канала.

      Что проверять?

      В большинстве случаев адрес внешнего интерфейса и шлюза провайдера заранее известны. Поэтому будет достаточно проверять доступность адреса шлюза провайдера. Но здесь есть один подвох. Что произойдет, если шлюз будет все так же доступен, но неисправность будет где-то дальше на сети провайдера? То есть «интернет не работает», но шлюз доступен. Ответ – ничего. Маршрутизатор не сможет распознать неисправность и не переключится на резерв. Сюда же подходят случаи, когда провайдер предоставляет динамический адрес, например, по технологии pppoe.

      Чтобы это обойти, часто выбирается какой-то стабильно работающий адрес в Интернете, который вполне может быть в любой точке мира. Далее на маршрутизаторе задается статический маршрут до выбранного адреса через интерфейс основного провайдера. И уже наличие шлюза по умолчанию в сторону основного провайдера ставится в зависимость от доступности выбранного адреса. Тогда, что бы ни случилось со связью, будь то неполадки с настройками маршрутизатора, сбои у оператора связи и другие причины, механизм переключения сработает автоматически. При этом минусом такого подхода будет то, что заветный адрес будет всегда недоступен вместе с основным провайдером. Для этих целей советую использовать адрес 1.1.1.1, который стабильно доступен, но крайне редко используется в повседневной работе пользователей или устройств.

      Сложно написано, не так ли? Давайте упростим до алгоритма действий маршрутизатора:

      • Маршрутизатор, знай, что хост 1.1.1.1 всегда находится за шлюзом основного провайдера 10.10.10.1
      • Маршрутизатор, проверяй доступность хоста 1.1.1.1 один раз в 10 секунд
      • Если хост 1.1.1.1 доступен, то шлюз по умолчанию – адрес провайдера 1
      • Если хост 1.1.1.1 недоступен, то шлюз по умолчанию – адрес провайдера 2

      Задаем статический маршрут через основного провайдера до адреса 1.1.1.1

      R-DELTACONFIG-1 (config)#
      ip route 1.1.1.1 255.255.255.255 10.10.10.1

      Активируем функцию ip sla
      R-DELTACONFIG-1 (config)#
      ip sla 1
      icmp-echo 1.1.1.1 source-interface Fa 4
      threshold 10000

      ip sla schedule 1 life forever start-time now

      track 1 ip sla 1 reachability

      Для справки:
      threshold 10000 – Запросы будут посылаться 1 раз в 10 секунд.

      Шаг 4. Проверка работы механизма отслеживания

      Для проверки работы отслеживания ip sla используется команда sh ip sla statistics

      R-DELTACONFIG-1# sh ip sla statistics
      IPSLAs Latest Operation Statistics
      IPSLA operation id: 1
      Latest RTT: 4 milliseconds
      Latest operation start time: 14:07:40 MSK Thu Aug 8 2019
      Latest operation return code: Over threshold
      Number of successes: 15
      Number of failures: 0
      Operation time to live: Forever

      Number of successes: 15 – показывает количество успешных icmp запросов
      Number of failures: 0 – показывает количество неудачных запросов

      Перед выполнением дальнейших шагов обязательно проверьте вывод этой команды несколько раз, чтобы убедиться, что счетчик успешных срабатываний (successes) растет со временем. Это означает, что основной канал работает стабильно и можно продолжать настройку без риска потерять связь с Интернет.

      Шаг 5. Шлюз по умолчанию для Резервного провайдера.

      Для Резервного провайдера требуется указать шлюз по умолчанию, куда маршрутизатор Cisco 881 будет отправлять все пакеты, но с одним отличием – этот маршрут не должен учитываться, когда доступен Основной провайдер. Для этого следует понизить приоритет этого маршрута, который здесь называется «административным расстоянием». Необходимо сделать его больше (дороже).

      По умолчанию значение административного расстояния для статического маршрута – 1. Зададим для Резервного канала значение, близкое к максимальному – 250

      R-DELTACONFIG-1 (config)#
      ip route 0.0.0.0 0.0.0.0 20.20.20.1 250

      После добавления в конфигурации маршрутизатора Cisco 881 должно быть 2 маршрута по умолчанию

      R-DELTACONFIG-1# sh run | inc route
      ip route 1.1.1.1 255.255.255.255 10.10.10.1
      ip route 0.0.0.0 0.0.0.0 10.10.10.1 1
      ip route 0.0.0.0 0.0.0.0 20.20.20.1 250

      Шаг 6. Активация переключения

      Финальный шаг – привязать основной маршрут к функции слежения за доступностью канала (ip sla).
      Добавляем новую строку для шлюза по умолчанию с пометкой track 1 и удаляем старую

      R-DELTACONFIG-1 (config)#
      ip route 0.0.0.0 0.0.0.0 10.10.10.1 1 track 1
      no ip route 0.0.0.0 0.0.0.0 10.10.10.1 1

      После этого в итоговой конфигурации останутся две строчки для шлюзов по умолчанию

      R-DELTACONFIG-1# sh run | inc route
      ip route 1.1.1.1 255.255.255.255 10.10.10.1
      ip route 0.0.0.0 0.0.0.0 10.10.10.1 1 track 1
      ip route 0.0.0.0 0.0.0.0 20.20.20.1 250

      Важно!
      Если существуют строки маршрутов для каких-то сетей, кроме шлюза по умолчанию, то следует учесть их наличие при настройке, продумав логику переключения аналогично шлюзу по умолчанию.

      Шаг 7. Корректировка NAT

      Самое главное, чем отличается настройка dual wan на маршрутизаторах Cisco 881 и Cisco ASA – это необходимость перенастройки трансляции адресов NAT (преобразование внутренних «серых» адресов в «белый» адрес внешнего интерфейса). Если для Cisco ASA достаточно продублировать настройки NAT для резервного провайдера, то для маршрутизаторов Cisco необходимо перенастраивать логику команд.

      «Обычные» настройки NAT для доступа в сеть Интернет для пользователей сводится к указанию диапазона внутренних адресов и добавления правила «транслируй «эти адреса» в адрес внешнего интерфейса». Фактически описывается трафик ДО попадания на внутренний интерфейс маршрутизатора.

      ip access-list standard ACL_NAT
      permit 192.168.10.0 0.0.0.255

      Interface Vlan 1
      ip nat inside

      Interface Fa 4
      ip nat outside

      ip nat ins >ACL_NAT interface fa4

      В случае с реализацией отказоустойчивого переключения на резервный канал с помощью ip sla необходимо использовать route-map. Это расширенная функция управления потоком трафика, в настройках которой указывается условие (какой трафик) и действие (что с ним делать).
      В нашем случае для каждого из провайдеров создается route-map только с «условиями», в качестве которых выступают:

      • заранее созданный список доступа ACL_NAT, в котором отражен трафик для всех внутренних хостов)
      • Выходной интерфейс (свой для каждого из провайдеров

      route-map ROUTE_ISP_MAIN permit 10
      match ip address ACL_NAT
      match interface FastEthernet 4

      route-map ROUTE_ISP_BACKUP permit 10
      match ip address ACL_NAT
      match interface Vlan 3

      Далее необходимо добавить правила для NAT, в которых сослаться на route-map

      ip nat ins >ROUTE_ISP_MAIN interface FastEthernet 4 overload
      ip nat ins >ROUTE_ISP_BACKUP interface Vlan 3 overload

      Важно!

      не забудьте проверить, что на каждом из трех интерфейсов, через которые проходит трафик, есть строки о принадлежности к NAT

      Interface Vlan 1
      ip nat inside
      Interface Fa 4
      ip nat outside
      interface Vlan 3
      ip nat outside

      Оцените статью
      Ремонт оргтехники
      Добавить комментарий