andistroebi
Goto Top

CISCO ASA 5505 Site-To-Site Metrik

Hallo,

ich habe 2 CISCO ASA 5505 an 2 verschiedenen Standorten. An jedem ASA sind 2 Internetleitungen. Die ASAs stellen einen Site-To-Site Tunnel her was auch perfekt funktioniert. Nun möchte ich es eigentlich so machen das wenn die primäre Internetleitung am ASA ausfällt das dann die andere Leitung genommen wird bzw. auch wenn er keine Verbindung über die primäre Internetverbindung des gegenüber nicht mehr herstellen kann das er dann versuch über die andere Verbindung sich zu verbinden.

Ist das möglich?

Gruß AndiStroebi

Content-ID: 159349

Url: https://administrator.de/forum/cisco-asa-5505-site-to-site-metrik-159349.html

Ausgedruckt am: 24.12.2024 um 16:12 Uhr

aqui
aqui 25.01.2011 um 14:41:49 Uhr
Goto Top
Eigentlich ganz einfach mit OSPF und ECMP: Du lässt 2 Tunnel laufen über die beiden Internetleitungen die jeweils ein anderes Transit IP Netz im Tunnel fahren. Dann aktivierst du ein dynamische Routing Protokoll wie OSPF auf den Tunnelstrecken bzw. lokalen LANs...fertig.
Damit fängst du sowohl Interface Probleme (Hardware) als auch Connectivity Probleme innerhalb des Providers (Linkausfälle) ab. Sinnvoll wäre dann natürlich die 2te Leitung über einen alternativen Provider laufen zu lassen.
OSPF sorgt mit seinen Protokoll Mechanismen automatisch für einen Failover auf den alternativen Link nach max. 6 Sek. Ausfallzeit. Und noch ein Goodie on top:
Wenn beide Leitungen die gleiche Cost haben, macht OSPF dann ECMP über diese Leitungen auf Basis der Ziel IP Netze oder der IP Hostadressen (per Konfig einstellbar), je nachdem was Sinn macht bei dir. (Viele Hosts oder viele Netze oder beides)
Hat den Vorteil das der 2te Link nicht einfach nur sinnlos rumdümpelt sondern aktiv mit gegenseitigem Failover genutzt wird zur Bandbreiten Ausnutzung.
Das ist in 10 Minuten per Konfig auf der ASA eingerichtet.
AndiStroebi
AndiStroebi 26.01.2011 um 23:19:51 Uhr
Goto Top
danke für die schnelle Antwort, dann werde ich das mal versuchen.
AndiStroebi
AndiStroebi 29.01.2011 um 19:15:04 Uhr
Goto Top
leider gibt es gerade schon bei den Grundlagen ein Problem.

Ich habe in den Interfaces für die Interverbindungen über ASDM PPPOE eingerichtet und bis jetzt war im ersten immer die option \"Obtain default route using PPPoE\" aktiviert. Jetzt wo ich die 2. Interverbindung angeschlossen habe, stehe ich vor dem Problem das ich ja nur eine route haben kann.

Es soll so sein das die 1. Verbindung nur für VPN ist und die 2. Verbindung für das surfen der User im Internet und als Ausfallverbindung für VPN wenn die 1. ausfällt.

Ich wollte jetzt vorerst es so zum laufen bringen wie ich es gerade beschrieben habe und dann die Ausfallsicherheit einbauen.

Wenn ich bei beiden Interfaces \"Obtain default route using PPPoE\" aktiviere setzt halt die Verbindung seine Route wo als erstes Online geht und für die andere Verbindung fehlt dann natürlich das richtige Gateway.

Kann mir vielleicht jemand sagen wie das geht?

Gruß AndiStroebi
aqui
aqui 29.01.2011, aktualisiert am 18.10.2012 um 18:45:40 Uhr
Goto Top
OK, auch das ist kein Problem und in 10 Minuten erledigt !
Dafür nutzt du dann Policy based Routing (PBR) auf deinem Cisco.
Wie man das genau einrichtet bei Cisco erklärt dir dieser Thread:
Cisco Router 2 Gateways für verschiedene Clients

Du musst dann lediglich die ACL erweitern mit den Ports der Dienste die du über den anderen Link routen willst.
AndiStroebi
AndiStroebi 30.01.2011 um 14:16:58 Uhr
Goto Top
Danke bringt mich schon mal einen Schritt weiter. Aber an einer Stelle weis ich noch nicht was ich Eintragen muss.

Und nun die PBR Liste die diesen Verkehr der Server auf den T-Interconnect Router bringt:
route-map t-inter permit 10
match ip address 110
set ip next-hop 192.168.13.254 (IP Addresse T-Interconnect Router !)


Da mein ASA direkt an das Modem angeschlossen ist und die Verbindung zum Internet macht bekomme ich das Gateway erst wenn ich mich eingewählt habe und wenn ich es in meinen Tests richtig beobachtet habe ist das Gateway bei jeder Einwahl nicht immer zwingend das gleiche.

Wie muss der Schritt bei mir dann aussehen?
set ip next-hop 192.168.13.254 (IP Addresse T-Interconnect Router !)
aqui
aqui 30.01.2011 um 14:23:39 Uhr
Goto Top
Statt der IP Adresse als next Hop kannst du auch einen Interface Namen eingeben !
Das du ein "?" eingeben kannst um deine Konfig Alternativen zu sehen weisst du schon, oder ??
AndiStroebi
AndiStroebi 30.01.2011 um 14:27:49 Uhr
Goto Top
Ja weis ich, leider sind die Geräte in der Firma und da ich bei der Umkonfiguration immer die VPN Verbindung zwischen den Firmen trennen muss möchte ich diesesmal sicher gehen das es funktioniert.

Aber danke für die viele Hilfe.
AndiStroebi
AndiStroebi 31.01.2011 um 13:50:12 Uhr
Goto Top
Jetzt bin ich gerade auf dem Gerät, aber leider geht das nicht

ich habe den Parameter IP nicht, sondern nur metric und metric-type
set ip next-hop 192.168.13.254

und im Interface habe ich kein policy sonder nur audit, local und verify
ip policy route-map t-inter

Habe auch bei CISCO auf der Seite nachgeschaut und beim ASA diese Parameter nicht gefunden.

Hast du mir nochmal einen Tip?
aqui
aqui 03.02.2011 um 00:23:28 Uhr
Goto Top
Dann benötigst du auf der ASA eine andere Release oder Featureset. Ohne PBR wirst du das sonst nicht umsetzen können !