在最近的博文中，Carroll使用命令行解決了思科ASA和BGP對等操作問題。在這里，Carroll將會(huì)和大家討論使用思科ASA防火墻實(shí)現(xiàn)動(dòng)態(tài)路由協(xié)議（DRP）的全冗余。

如果你使用ASA來做冗余，那么當(dāng)主用設(shè)備宕掉時(shí)，備用設(shè)備就會(huì)立即啟用。在這種情況下，備用設(shè)備會(huì)假裝活動(dòng)設(shè)備的IP和MAC地址。如果你正在運(yùn)行路由協(xié)議，你就會(huì)看到OSPF和EIGRP會(huì)被強(qiáng)制重新建立鄰接。從而導(dǎo)致漫長的收斂時(shí)間和路由抖動(dòng)。而ASA8.4有一個(gè)新功能可以解決這類問題。

實(shí)現(xiàn)動(dòng)態(tài)路由協(xié)議的全冗余：思科ASA 8.4

在思科ASA 8.4版本中，有一個(gè)新的功能可以幫我們實(shí)現(xiàn)動(dòng)態(tài)路由協(xié)議(DRP)中的全冗余。

全冗余工作在路由協(xié)議中， 并且同步冗余設(shè)備間的路由信息。這些信息都存儲(chǔ)在備份設(shè)備的路由表中。

當(dāng)冗余事件發(fā)生時(shí)，所有包都可以正常傳輸，因?yàn)榈诙€(gè)ASA和主ASA的規(guī)則一樣，而且現(xiàn)在變成了主用的。一旦冗余發(fā)生，RIB的序列號或戳記就會(huì)增加，并且重收斂時(shí)間也會(huì)在新活動(dòng)設(shè)備上開始。

接下來，該新活動(dòng)設(shè)備和對等路由器形成鄰接關(guān)系，并從其他對等體那學(xué)習(xí)到路由信息。這些路由和我們從全冗余上學(xué)習(xí)到路由差不多；然而，這些路由信息仍然會(huì)被加上更新過的戳記號并放在路由表中，替換之前活動(dòng)設(shè)備中的舊路由。換句話說，舊的出去，新的進(jìn)來。

你可以通過show failover命令來確認(rèn)冗余設(shè)備之間路由信息的發(fā)送。從輸出地突出部分你可以看到路由信息在活動(dòng)設(shè)備和備份設(shè)備間的發(fā)送和接受。現(xiàn)在我們可以核實(shí)下路由表：

ciscoasa(config)# show failover  
 
Failover On  
 
Failover unit Secondary  
 
Failover LAN Interface: failover GigabitEthernet0/0 (up)  
 
Unit Poll frequency 300 milliseconds, holdtime 900 milliseconds  
 
……  
 
…….  
 
Stateful Failover Logical Update Statistics  
 
Link : failover GigabitEthernet0/0 (up)  
 
Stateful Obj          xmit       xerr       rcv        rerr  
 
General               2870       0          2644       0  
 
sys cmd               2572         0          2572       0  
 
up time        0          0          0          0  
 
RPC services    0          0          0          0  
 
TCP conn       0          0          0          0  
 
UDP conn        0          0          0          0  
 
ARP tbl               242        0          33         0  
 
Xlate_Timeout         0          0          0          0  
 
IPv6 ND tbl           0          0          0          0  
 
VPN IKEv1 SA   0          0          0          0  
 
VPN IKEv1 P2          0          0          0          0  
 
VPN IKEv2 SA          0          0          0          0  
 
VPN IKEv2 P2          0          0          0          0  
 
VPN CTCP upd    0          0          0          0  
 
VPN SDI upd           0          0          0          0  
 
VPN DHCP upd    0          0          0          0  
 
SIP Session           0          0          0          0  
 
Route Session      56              0          39         0  
 
SIA data              0          0          0          0  
 
Logical Update Queue Information  
 
Cur     Max     Total  
 
Recv Q:        0       7       4304  
 
Xmit Q:         0       1       23765  
 

那如果想要查看路由表的序列號，以及增加的路由信息應(yīng)該用什么樣的命令呢？#p#

下面我們將介紹通過其他命令查看路由表的序列號，以及增加的路由等。

如果我們使用show route failover命令，我們可以看到路由表的序列號。

ciscoasa(config)# show route failover  
 
Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP  
 
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area  
 
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2  
 
E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP  
 
i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area  
 
* - candidate default, U - per-user static route, o - ODR  
 
P - periodic downloaded static route  
 
Gateway of last resort is 10.104.54.129 to network 0.0.0.0  
 
Routing table seq num 5  
 
Reconvergence timer expired  
 
D    20.20.210.0 255.255.255.0  [90/28416] via 192.101.1.30, 0:13:14, outside, seq 5  
 
D    20.20.249.0 255.255.255.0  [90/30976] via 192.101.1.30, 0:13:14, outside, seq 5  
 
D    20.20.250.0 255.255.255.0  [90/33536] via 192.101.1.30, 0:13:14, outside, seq 5  
 
O IA 172.198.40.0 255.255.255.0  [110/30] via 192.168.32.2, 0:12:37, inside, seq 5  
 
O IA 172.168.34.0 255.255.255.0  [110/20] via 192.168.32.2, 0:12:37, inside, seq 5  
 
O IA 172.188.36.0 255.255.255.0  [110/30] via 192.168.32.2, 0:12:37, inside, seq 5  
 
O IA 172.16.30.0 255.255.255.0    [110/20] via 192.168.32.2, 0:12:40, inside, seq 5  
 
C    10.104.54.0 255.255.255.0 is directly connected, mgmt, seq 4  
 
C    192.101.1.0 255.255.255.0 is directly connected, outside, seq 5  
 
C    192.168.253.0 255.255.255.0 is directly connected, failover, seq 0  
 
C    192.168.32.0 255.255.255.0 is directly connected, inside, seq 5  
 
S*   0.0.0.0 0.0.0.0 [1/0] via 10.104.54.129, mgmt, seq 5  
 

如果我們使用debug route ha命令，我們將看到下面增加的路由：

ROUTE HA: RIB Epoch number 5 assigned to NDB: 192.168.32.0  
 
ROUTE HA: Sending Message Version: 1 Action: add Object: route Address: 192.168.32.0 Mask: 255.255.255.0  
 
ROUTE HA: RIB Epoch number 5 assigned to NDB: 172.16.0.0  
 
ROUTE HA: Sending Message Version: 1 Action: add Object: route Address: 172.16.30.0 Mask: 255.255.255.0  
 
ROUTE HA: RIB epoch number 5 assigned to SDB: 172.16.30.0  
 
ROUTE HA: RIB Epoch number 5 assigned to NDB: 172.168.0.0  
 
ROUTE HA: Sending Message Version: 1 Action: add Object: route Address: 172.168.34.0 Mask: 255.255.255.0  
 
ROUTE HA: RIB epoch number 5 assigned to SDB: 172.168.34.0  
 
ROUTE HA: RIB Epoch number 5 assigned to NDB: 172.188.0.0  
 
ROUTE HA: Sending Message Version: 1 Action: add Object: route Address: 172.188.36.0 Mask: 255.255.255.0  
 
ROUTE HA: RIB epoch number 5 assigned to SDB: 172.188.36.0  
 
ROUTE HA: RIB Epoch number 5 assigned to NDB: 172.198.0.0  
 
ROUTE HA: Sending Message Version: 1 Action: add Object: route Address: 172.198.40.0 Mask: 255.255.255.0  
 
ROUTE HA: RIB epoch number 5 assigned to SDB: 172.198.40.0  
 

該功能在ASA上早已開啟，所以你只需要在ASA上設(shè)置冗余和路由就可以了。

 【編輯推薦】

1. 網(wǎng)絡(luò)路徑分析工具 助力防火墻管理和故障修復(fù)
2. 淺談路由器的基本功能和四個(gè)技術(shù)進(jìn)展
3. 淺析路由器的第二層橋接功能
4. 思科CRS-3運(yùn)營商路由系統(tǒng)入市一年的成績單
5. 研究人員發(fā)現(xiàn)思科防火墻漏洞和邁克菲控制臺(tái)漏洞