В основном асимметричная маршрутизация происходит когда 2 интерфейса одного устройства FWSM, или два устройства FWSM, объединенные в кластер высокой готовности, подключены к разным внешним провайдерам и исходящее соединение не использует NAT.
Если не существует информации о сессии для трафика, получаемого через интерфейс, отличный от интерфейса из которого он был порожден, то, по-умолчанию (без активированной асимметричной маршрутизации), устройство FWSM его отбрасывает.
Асимметричная маршрутизация возвращающегося трафика активируется команды asr-group group_id, выполненной в режиме конфигурации интерфейса.
Context ctx1 configuration:
hostname/ctx1(config)# interface Vlan101
hostname/ctx1(config-if)# nameif outside
hostname/ctx1(config-if)# ip address 192.168.1.11 255.255.255.0 standby 192.168.1.21
hostname/ctx1(config-if)# asr-group 1
Context ctx2 configuration:
hostname/ctx2(config)# interface Vlan102
hostname/ctx2(config-if)# nameif outside
hostname/ctx2(config-if)# ip address 192.168.1.31 255.255.255.0 standby 192.168.1.41
hostname/ctx2(config-if)# asr-group 1
Модуль FWSM поддерживает до 32 групп асимметричной маршрутизации (групп ASR). Каждая группа ASR поддреживает до 8 интерфейсов. Режим асимметричной маршрутизации поддерживается с использованием групп ASR в режиме отказоустойчивого кластера "активный/активный" и в обычном режиме без отказоустойчивости, либо в одиночном режиме, либо внутри виртуального межсетевого экрана. Асимметричная маршрутизация поддерживается как в прозрачном, так и в маршрутизирующем режимах работы межсетевых экранов.
Асимметричная маршрутизация с группой ASR с одним устройством FWSM.
Интерфейсы внутри обычной группы ASR позволяют пакетам, принадлежащим определенной сессии, входить и выходить из любых интерфейсов группы ASR.
Когда интерфейс, сконфигурированный с использованием команды asr-group, получает пакет, для которого нет сессионной информации, он проверяет информацию о сессиях для других интерфейсов из его группы. Если совпадение не найдено, пакет отбрасывается. Если совпадение находится и входящий трафик исходил из другого интерфейса той же группы, часть заголовка 2 уровня пакета переписывается и пакет передается целевому хосту.
После того, как пакет синхронизации (SYN) отправлен из группы ASR, устройство FWSM будет принимать возвращающийся пракет подтверждения синхронизации (SYN ACK) на любом интерфейсе из группы ASR.
Асимметричная маршрутизация в топологии отказоустойчивого кластера "активный/активный".
Интерфейсы внутри обычной группы ASR в топологии кластера "активный/активный" также поддерживают асимметричную маршрутизацию.
В топологии "активный/активный", когда интерфейс, сконфигурированный командой asr-group, получает пакет, для которого нет сессионной информации, он проверяет сессионную информацию для других интерфейсов, находящихся в той же группе. Если совпадение не найдено, пакет отбрасывается. Если совпадение находится и входящий трафик исходил из соседнего устройства, которое было активным для контекста, часть или целый заголовок 2 уровня пакета переписывается и пакет перенаправляется активному устройству.
На рисунке показано, что трафик передается через исходящий интерфейс на контексте А устройства, где контекст А находится в неактивном состоянии и возвращается через внешний интерфейс контекста А на устройстве, где контекст А находится в активном состоянии. Это перенаправление продолжается, пока сессия остается активной.
Источник - Authorized Self-Study Guide: Designing Cisco Network Service Architectures (ARCH)
2 комментария:
Hi. good blog, you can visit my blog, good friend . Cisconas.blogspot.com
Thanhs
Отправить комментарий