9
CISCO ASA 5505 Site-To-Site Metrik
Hallo,
ich habe 2 CISCO ASA 5505 an 2 verschiedenen Standorten. An jedem ASA sind 2 Internetleitungen. Die ASAs stellen einen Site-To-Site Tunnel her was auch perfekt funktioniert. Nun möchte ich es eigentlich so machen das wenn die primäre Internetleitung am ASA ausfällt das dann die andere Leitung genommen wird bzw. auch wenn er keine Verbindung über die primäre Internetverbindung des gegenüber nicht mehr herstellen kann das er dann versuch über die andere Verbindung sich zu verbinden.
Ist das möglich?
Gruß AndiStroebi
ich habe 2 CISCO ASA 5505 an 2 verschiedenen Standorten. An jedem ASA sind 2 Internetleitungen. Die ASAs stellen einen Site-To-Site Tunnel her was auch perfekt funktioniert. Nun möchte ich es eigentlich so machen das wenn die primäre Internetleitung am ASA ausfällt das dann die andere Leitung genommen wird bzw. auch wenn er keine Verbindung über die primäre Internetverbindung des gegenüber nicht mehr herstellen kann das er dann versuch über die andere Verbindung sich zu verbinden.
Ist das möglich?
Gruß AndiStroebi
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 159349
Url: https://administrator.de/contentid/159349
Printed on: April 26, 2024 at 13:04 o'clock
9 Comments
Latest comment
Eigentlich ganz einfach mit OSPF und ECMP: Du lässt 2 Tunnel laufen über die beiden Internetleitungen die jeweils ein anderes Transit IP Netz im Tunnel fahren. Dann aktivierst du ein dynamische Routing Protokoll wie OSPF auf den Tunnelstrecken bzw. lokalen LANs...fertig.
Damit fängst du sowohl Interface Probleme (Hardware) als auch Connectivity Probleme innerhalb des Providers (Linkausfälle) ab. Sinnvoll wäre dann natürlich die 2te Leitung über einen alternativen Provider laufen zu lassen.
OSPF sorgt mit seinen Protokoll Mechanismen automatisch für einen Failover auf den alternativen Link nach max. 6 Sek. Ausfallzeit. Und noch ein Goodie on top:
Wenn beide Leitungen die gleiche Cost haben, macht OSPF dann ECMP über diese Leitungen auf Basis der Ziel IP Netze oder der IP Hostadressen (per Konfig einstellbar), je nachdem was Sinn macht bei dir. (Viele Hosts oder viele Netze oder beides)
Hat den Vorteil das der 2te Link nicht einfach nur sinnlos rumdümpelt sondern aktiv mit gegenseitigem Failover genutzt wird zur Bandbreiten Ausnutzung.
Das ist in 10 Minuten per Konfig auf der ASA eingerichtet.
Damit fängst du sowohl Interface Probleme (Hardware) als auch Connectivity Probleme innerhalb des Providers (Linkausfälle) ab. Sinnvoll wäre dann natürlich die 2te Leitung über einen alternativen Provider laufen zu lassen.
OSPF sorgt mit seinen Protokoll Mechanismen automatisch für einen Failover auf den alternativen Link nach max. 6 Sek. Ausfallzeit. Und noch ein Goodie on top:
Wenn beide Leitungen die gleiche Cost haben, macht OSPF dann ECMP über diese Leitungen auf Basis der Ziel IP Netze oder der IP Hostadressen (per Konfig einstellbar), je nachdem was Sinn macht bei dir. (Viele Hosts oder viele Netze oder beides)
Hat den Vorteil das der 2te Link nicht einfach nur sinnlos rumdümpelt sondern aktiv mit gegenseitigem Failover genutzt wird zur Bandbreiten Ausnutzung.
Das ist in 10 Minuten per Konfig auf der ASA eingerichtet.
danke für die schnelle Antwort, dann werde ich das mal versuchen.
leider gibt es gerade schon bei den Grundlagen ein Problem.
Ich habe in den Interfaces für die Interverbindungen über ASDM PPPOE eingerichtet und bis jetzt war im ersten immer die option \"Obtain default route using PPPoE\" aktiviert. Jetzt wo ich die 2. Interverbindung angeschlossen habe, stehe ich vor dem Problem das ich ja nur eine route haben kann.
Es soll so sein das die 1. Verbindung nur für VPN ist und die 2. Verbindung für das surfen der User im Internet und als Ausfallverbindung für VPN wenn die 1. ausfällt.
Ich wollte jetzt vorerst es so zum laufen bringen wie ich es gerade beschrieben habe und dann die Ausfallsicherheit einbauen.
Wenn ich bei beiden Interfaces \"Obtain default route using PPPoE\" aktiviere setzt halt die Verbindung seine Route wo als erstes Online geht und für die andere Verbindung fehlt dann natürlich das richtige Gateway.
Kann mir vielleicht jemand sagen wie das geht?
Gruß AndiStroebi
Ich habe in den Interfaces für die Interverbindungen über ASDM PPPOE eingerichtet und bis jetzt war im ersten immer die option \"Obtain default route using PPPoE\" aktiviert. Jetzt wo ich die 2. Interverbindung angeschlossen habe, stehe ich vor dem Problem das ich ja nur eine route haben kann.
Es soll so sein das die 1. Verbindung nur für VPN ist und die 2. Verbindung für das surfen der User im Internet und als Ausfallverbindung für VPN wenn die 1. ausfällt.
Ich wollte jetzt vorerst es so zum laufen bringen wie ich es gerade beschrieben habe und dann die Ausfallsicherheit einbauen.
Wenn ich bei beiden Interfaces \"Obtain default route using PPPoE\" aktiviere setzt halt die Verbindung seine Route wo als erstes Online geht und für die andere Verbindung fehlt dann natürlich das richtige Gateway.
Kann mir vielleicht jemand sagen wie das geht?
Gruß AndiStroebi
OK, auch das ist kein Problem und in 10 Minuten erledigt !
Dafür nutzt du dann Policy based Routing (PBR) auf deinem Cisco.
Wie man das genau einrichtet bei Cisco erklärt dir dieser Thread:
Cisco Router 2 Gateways für verschiedene Clients
Du musst dann lediglich die ACL erweitern mit den Ports der Dienste die du über den anderen Link routen willst.
Dafür nutzt du dann Policy based Routing (PBR) auf deinem Cisco.
Wie man das genau einrichtet bei Cisco erklärt dir dieser Thread:
Cisco Router 2 Gateways für verschiedene Clients
Du musst dann lediglich die ACL erweitern mit den Ports der Dienste die du über den anderen Link routen willst.
Danke bringt mich schon mal einen Schritt weiter. Aber an einer Stelle weis ich noch nicht was ich Eintragen muss.
Und nun die PBR Liste die diesen Verkehr der Server auf den T-Interconnect Router bringt:
route-map t-inter permit 10
match ip address 110
set ip next-hop 192.168.13.254 (IP Addresse T-Interconnect Router !)
Da mein ASA direkt an das Modem angeschlossen ist und die Verbindung zum Internet macht bekomme ich das Gateway erst wenn ich mich eingewählt habe und wenn ich es in meinen Tests richtig beobachtet habe ist das Gateway bei jeder Einwahl nicht immer zwingend das gleiche.
Wie muss der Schritt bei mir dann aussehen?
set ip next-hop 192.168.13.254 (IP Addresse T-Interconnect Router !)
Und nun die PBR Liste die diesen Verkehr der Server auf den T-Interconnect Router bringt:
route-map t-inter permit 10
match ip address 110
set ip next-hop 192.168.13.254 (IP Addresse T-Interconnect Router !)
Da mein ASA direkt an das Modem angeschlossen ist und die Verbindung zum Internet macht bekomme ich das Gateway erst wenn ich mich eingewählt habe und wenn ich es in meinen Tests richtig beobachtet habe ist das Gateway bei jeder Einwahl nicht immer zwingend das gleiche.
Wie muss der Schritt bei mir dann aussehen?
set ip next-hop 192.168.13.254 (IP Addresse T-Interconnect Router !)
Statt der IP Adresse als next Hop kannst du auch einen Interface Namen eingeben !
Das du ein "?" eingeben kannst um deine Konfig Alternativen zu sehen weisst du schon, oder ??
Das du ein "?" eingeben kannst um deine Konfig Alternativen zu sehen weisst du schon, oder ??
Ja weis ich, leider sind die Geräte in der Firma und da ich bei der Umkonfiguration immer die VPN Verbindung zwischen den Firmen trennen muss möchte ich diesesmal sicher gehen das es funktioniert.
Aber danke für die viele Hilfe.
Aber danke für die viele Hilfe.
Jetzt bin ich gerade auf dem Gerät, aber leider geht das nicht
ich habe den Parameter IP nicht, sondern nur metric und metric-type
set ip next-hop 192.168.13.254
und im Interface habe ich kein policy sonder nur audit, local und verify
ip policy route-map t-inter
Habe auch bei CISCO auf der Seite nachgeschaut und beim ASA diese Parameter nicht gefunden.
Hast du mir nochmal einen Tip?
ich habe den Parameter IP nicht, sondern nur metric und metric-type
set ip next-hop 192.168.13.254
und im Interface habe ich kein policy sonder nur audit, local und verify
ip policy route-map t-inter
Habe auch bei CISCO auf der Seite nachgeschaut und beim ASA diese Parameter nicht gefunden.
Hast du mir nochmal einen Tip?
Dann benötigst du auf der ASA eine andere Release oder Featureset. Ohne PBR wirst du das sonst nicht umsetzen können !