Como leer e interpretar las líneas
de comando
En el presente manual se usan las
siguientes convenciones para comandos a ingresar en la interfaz de lineas de
configuracion (CLI).
Comando para ingresar al modo de configuracion global:
configure terminal
Comando para especificar el valor de una varible:
ntp server 172.18.58.200
Comando cuya variable usted debe definir:
Class-map [highest class
name]
Comando para ingresar al modo de configuracion
privilegiado y campos universales imperativos :
Router>enable
Las comandos de configuracion muy largos y que ocupan
varias lineas se subrayan
police
rate 10000 pps burst 10000 packets conform-action
Las variables que se muestran como salida de respuesta
a peticiones en CLI son sombreadas
interface Van64
ip address 10.5.204.5 255.255.255.0
Introducción
Hace ya
algunas semanas, alguno de nuestros clientes nos ha presenado un escenario
donde se plantea la necesidad de balancear la carga de trafico hacia internet
desde las sesiones de usuarios y además contar con esceario de contingencia.
Desde
entonces se desplego una topologia donde:
1.
Los usuarios han sido dividios
por categorias
2.
Cada categoria es correpondinda
por un segmento de red.
3.
Cada uno de estos segmentos de
red se le ha asignado una salida primaria a internet a través de un ASA cisco y
dos (2) contingencias.
4.
De igual manera, las reglas de navegacion
son configuradas mediante Firepower Management Center y aplicadas por la sonda
FirePower.
Proceso
1: Configurando segmentos de red para categorías de usuarios
Este
cliente posee un núcleo de red colapsado.
Paso 1: Realice
la creación de interfaces SVI y vlan correspondientes dentro de núcleo de red, según
las categorías de usuarios creadas, en nuestro caso cinco (5).
En
el diseño se tienen dos (2) servidores DHCP externos, se ha configurado HSRP en
cada interfaz de este núcleo de red primario y en el secundario y además tenemos
la certeza de que el núcleo de red primario es el puente raíz para cada una de
las vlan que se han creado. Por último
la ruta por defecto del tráfico de red es el Cisco ASA. Validar Figura1 y líneas de configuración adjunta.
Figura1.:
Topología de interconexión
Vlan 48
Name Platino
Vlan 49
Name Oro
Vlan 50
Name Plata
Vlan 51
Name Bronce
Vlan 52
Name Invitado
!
ip routing
!
interface Vlan48
description # Conexion Platino #
ip address 10.2.48.2
255.255.255.0
ip helper-address 192.168.1.235
ip helper-address 192.168.1.236
standby 48 ip 10.2.48.1
standby 48 timers 5 15
standby 48 priority 110
standby 48 preempt
!
interface Vlan49
description # Conexion Oro #
ip address 10.2.49.2
255.255.255.0
ip helper-address 192.168.1.235
ip helper-address 192.168.1.236
standby 49 ip 10.2.49.1
standby 49 timers 5 15
standby 49 priority 110
standby 49 preempt
!
interface Vlan50
description # Conexion Plata #
ip address 10.2.50.2
255.255.255.0
ip helper-address 192.168.1.235
ip helper-address 192.168.1.236
standby 50 ip 10.2.50.1
standby 50 timers 5 15
standby 50 priority 110
standby 50 preempt
!
interface Vlan51
description # Conexion Bronce #
ip address 10.2.51.2
255.255.255.0
ip helper-address 192.168.1.235
ip helper-address 192.168.1.236
standby 51 ip 10.2.51.1
standby 51 timers 5 15
standby 51 priority 110
standby 51 preempt
!
interface Vlan52
description # Conexion Invitado #
ip address 10.2.52.2
255.255.255.128
ip helper-address 192.168.1.235
ip helper-address 192.168.1.236
standby 52 ip 10.2.52.1
standby 52 timers 5 15
standby 52 priority 110
standby 52 preempt
Proceso 2: Configurando
distribución de conexiones a internet por categorías de usuarios y contingencias
Paso 1: Crear
los objetos correspondientes a los segmentos de red y categorías de usuarios en
Firewall. Ejemplo:
object network Platino
subnet 10.2.48.0 255.255.255.0
object network Oro
subnet 10.2.49.0 255.255.255.0
object network Plata
subnet 10.2.50.0 255.255.255.0
object network Bronce
subnet 10.2.51.0 255.255.255.0
object network Invitado
subnet 10.2.52.0 255.255.255.128
Paso 2: Crear
un grupo de objetos correspondientes a los segmentos de red y categorías de
usuarios. Ejemplo:
object-group network internet
network-object object Platino
network-object object Oro
network-object object Plata
network-object object Bronce
network-object object Invitado
Paso
3: Crear
listas de acceso “ACLs” donde se utilizarán los objetos creados y que serán
usadas dentro de “la política basada en enrutamiento (PBR)” a fin de equilibrar
el tráfico. Ejemplo:
access-list Platino_acl extended permit ip object Platino any
access-list Oro_acl extended permit ip object Oro any
access-list Plata_acl extended permit ip object Plata any
access-list Bronce_acl extended permit ip object Bronce any
access-list Invitado_acl extended permit ip object Invitado any
Paso 4: Ahora
bien, configurar las interfaces de interconexión entre el dispositivo Cisco Asa
y los ISPs. Ejemplo:
interface GigabitEthernet1/3
nameif outside_level3
security-level 0
ip address 201.234.228.5
255.255.255.224
!
interface GigabitEthernet1/4
nameif outside_cantv_metro
security-level 0
ip address 200.11.139.53
255.255.255.248
!
interface GigabitEthernet1/5
nameif outside_viptel
security-level 0
ip address 190.60.41.76
255.255.255.248
!
interface GigabitEthernet1/6
nameif outside_cantv_aba
security-level 0
ip address dhcp
Paso 5: Configure
pruebas SLAs sobre cada uno de los circuito de interconexión con ISPs. Ejemplo:
sla monitor 1
type echo protocol ipIcmpEcho
200.11.139.49 interface outside_cantv_metro
sla monitor schedule 1 life forever start-time now
!
sla monitor 2
type echo protocol ipIcmpEcho
201.234.228.1 interface outside_level3
sla monitor schedule 2 life forever start-time now
!
sla monitor 3
type echo protocol ipIcmpEcho
190.60.41.73 interface outside_viptel
sla monitor schedule 3 life forever start-time now
!
sla monitor 4
type echo protocol ipIcmpEcho
186.90.32.1 interface outside_cantv_aba
sla monitor schedule 4 life forever start-time now
Paso 6: Configure
sondeo “track” sobre cada una de las pruebas SLA construidas. Ejemplo:
track 1 rtr 1 reachability
!
track 2 rtr 2 reachability
!
track 3 rtr 3 reachability
!
track 4 rtr 4 reachability
Paso 7: Configure
“route-map”, apoyado sobre listas de acceso aplicadas a la categorías de
usuarios a fin de distribuir el tráfico de datos hacia internet y que contemple
la disponibilidad o no de los diferentes circuitos de datos hacia los ISPs. Ejemplo:
route-map RM_internet permit 10
match ip address Platino_acl
set ip next-hop
verify-availability 200.11.139.49 1 track 1
set ip next-hop
verify-availability 201.234.228.1 2 track 2
set ip next-hop
verify-availability 190.60.41.73 3 track 3
!
route-map RM_internet permit 20
match ip address Oro_acl
set ip next-hop
verify-availability 201.234.228.1 1 track 2
set ip next-hop
verify-availability 190.60.41.73 2 track 3
set ip next-hop
verify-availability 200.11.139.49 3 track 1
!
route-map RM_internet permit 30
match ip address Plata_acl
set ip next-hop
verify-availability 201.234.228.1 1 track 2
set ip next-hop
verify-availability 190.60.41.73 2 track 3
set ip next-hop
verify-availability 200.11.139.49 3 track 1
!
route-map RM_internet permit 40
match ip address Bronce_acl
set ip next-hop
verify-availability 190.60.41.73 1 track 3
set ip next-hop
verify-availability 201.234.228.1 2 track 2
set ip next-hop
verify-availability 200.11.139.49 3 track 1
!
route-map RM_internet permit 60
match ip address Invitado_acl
set ip next-hop
verify-availability 186.90.32.1 1 track 4
set ip next-hop
verify-availability 190.60.41.73 2 track 3
set ip next-hop verify-availability
201.234.228.1 3 track 2
Paso 8: Configure
las rutas por default hacia cada ISP. Ejemplo:
route outside_cantv_metro 0.0.0.0 0.0.0.0 200.11.139.49 1 track 1
route outside_level3 0.0.0.0 0.0.0.0 201.234.228.1 2 track 2
route outside_viptel 0.0.0.0 0.0.0.0 190.60.41.73 3 track 3
route outside_cantv_aba 0.0.0.0 0.0.0.0 186.90.32.1 4 track 4
Paso 9: Aplique
“la política basada en enrutamiento (PBR)” sobre la interfaz entrante del tráfico
de usuarios hasta las redes destino, “inside” del dispositivo Cisco Asa. Ejemplo:
interface GigabitEthernet1/2
nameif inside
security-level 100
ip address 10.2.55.254 255.255.255.192
policy-route route-map
RM_internet
Paso 10: Aplicar
reglas de Nat correspondientes, y en resumen, todas las redes pueden salir por
cualquier proveedor de servicio de internet, no obstante quien dirige el tráfico
de datos es el PBR. Además el Nat es por sobrecarga de la interfaz saliente
hacia cada ISPs, es decir, un PAT. Ejemplo:
object-group network internet_level3
group-object
internet
nat
(inside,outside_level3) source dynamic internet interface
!
object-group network internet_viptel
group-object
internet
nat
(inside,outside_viptel) source dynamic internet interface
!
object-group network internet_cantv_aba
group-object
internet
nat (inside,outside_cantv_aba) source dynamic
internet interface
!
object-group network internet_cantv_metro
group-object
internet
nat
(inside,outside_cantv_metro) source dynamic internet interface
!
Proceso 3: Comprobando configuración.
Paso 1: Verifique que
el dispositivo ASA, obtenga dirección IP para sus interfaces en las que se
conecte con proveedores que las asignen via DHCP. Ejemplo:
Asa-FW-BOLE# show interface
ip brief
Interface IP-Address OK? Method Status Protocol
GigabitEthernet1/1 unassigned YES DHCP
down down
GigabitEthernet1/2 10.2.55.254 YES CONFIG up up
GigabitEthernet1/3 201.234.228.5 YES manual up up
GigabitEthernet1/4 200.11.139.53 YES manual up up
GigabitEthernet1/5 190.60.41.76 YES manual up up
GigabitEthernet1/6 190.38.246.103 YES DHCP
up up
Paso 2: Verifique la
operatividad de cada uno de las pruebas SLA, donde la respuesta esperada al
comando se indica en el ejemplo:
Asa-FW-BOLE#
show sla monitor operational-state 1
Entry number: 1
Modification time: 07:27:04.205 UTC Wed Jun 21 2017
Number of Octets Used by this Entry: 2272
Number of operations attempted: 951958
Number of operations skipped: 0
Current seconds left in Life: Forever
Operational state of entry: Active
Last time this entry was reset: Never
Connection loss
occurred: FALSE
Timeout occurred: FALSE
Over thresholds
occurred: FALSE
Latest RTT (milliseconds): 1
Latest operation start time: 11:46:34.207 UTC Mon Oct
9 2017
Latest operation return code: OK
RTT Values:
RTTAvg: 1
RTTMin: 1 RTTMax: 1
NumOfRTT: 3
RTTSum: 3 RTTSum2: 3
Paso 3: Verifique la
operatividad de los sondes track, donde la respuesta esperada al comando se
indica en el ejemplo:
Asa-FW-BOLE#
show track 1
Track 1
Response Time
Reporter 1 reachability
Reachability is Up
1 change, last
change 15w5d
Latest operation return code: OK
Latest RTT
(millisecs) 1
Tracked by:
ROUTE-MAP 0
Asa-FW-BOLE#
Paso 4: Verifique el
estado de la PBR, donde la respuesta esperada al comando se indica en el
ejemplo:
Asa-FW-BOLE#
show route-map
route-map RM_internet, permit, sequence 10
Match clauses:
ip address
(access-lists): Platino_acl
Set clauses:
ip next-hop
verify-availability 200.11.139.49 1 track 1
[up]
ip next-hop
verify-availability 201.234.228.1 2 track 2
[up]
ip next-hop
verify-availability 190.60.41.73 3 track 3
[up]
route-map RM_internet, permit, sequence 20
Match clauses:
ip address
(access-lists): Oro_acl
Set clauses:
ip next-hop
verify-availability 201.234.228.1 1 track 2
[up]
ip next-hop
verify-availability 190.60.41.73 2 track 3
[up]
ip next-hop
verify-availability 200.11.139.49 3 track 1
[up]
route-map RM_internet, permit, sequence 30
Match clauses:
ip address
(access-lists): Plata_acl
Set clauses:
ip next-hop
verify-availability 201.234.228.1 1 track 2
[up]
ip next-hop
verify-availability 190.60.41.73 2 track 3
[up]
ip next-hop
verify-availability 200.11.139.49 3 track 1
[up]
route-map RM_internet, permit, sequence 40
Match clauses:
ip address
(access-lists): Bronce_acl
Set clauses:
ip next-hop
verify-availability 190.60.41.73 1 track 3
[up]
ip next-hop
verify-availability 201.234.228.1 2 track 2
[up]
ip next-hop
verify-availability 200.11.139.49 3 track 1
[up]
route-map RM_internet, permit, sequence 60
Match clauses:
ip address
(access-lists): Invitado_acl
Set clauses:
ip next-hop
verify-availability 186.90.32.1 1 track 4
[up]
ip next-hop
verify-availability 190.60.41.73 2 track 3
[up]
ip next-hop
verify-availability 201.234.228.1 3 track 2
[up]
Asa-FW-BOLE#
Paso 5: Verifique las
traducciones IPs o NAT realizados.
Asa-FW-BOLE#
show xlate interface outside_level3
3865 in use, 46349
most used
Flags: D - DNS, e - extended, I - identity, i -
dynamic, r - portmap,
s -
static, T - twice, N - net-to-net
NAT from outside_level3:0.0.0.0/0 to inside:0.0.0.0/0
flags sIT
idle 421:00:20 timeout 0:00:00
UDP PAT from inside:10.2.50.89/55303 to
outside_level3:201.234.228.5/55303 flags ri idle 0:00:03 timeout 0:00:30
UDP PAT from inside:10.2.50.89/55302 to
outside_level3:201.234.228.5/55302 flags ri idle 0:00:03 timeout 0:00:30
Asa-FW-BOLE#
show xlate interface outside_viptel
3778 in use, 46349
most used
Flags: D - DNS, e - extended, I - identity, i -
dynamic, r - portmap,
s -
static, T - twice, N - net-to-net
NAT from outside_viptel:0.0.0.0/0 to inside:0.0.0.0/0
flags sIT
idle 421:01:02 timeout 0:00:00
TCP PAT from inside:10.2.51.53/52798 to
outside_viptel:190.60.41.76/52798 flags ri idle 0:05:17 timeout 0:00:30
TCP PAT from inside:10.2.51.53/52634 to
outside_viptel:190.60.41.76/52634 flags ri idle 0:31:49 timeout 0:00:30
No hay comentarios:
Publicar un comentario