Cisco配置IPSLA路由联动.docx
《Cisco配置IPSLA路由联动.docx》由会员分享,可在线阅读,更多相关《Cisco配置IPSLA路由联动.docx(15页珍藏版)》请在冰豆网上搜索。
Cisco配置IPSLA路由联动
Cisco配置IPSLA路由联动
时间:
2014-04-1010:
35 来源:
互联网 字体:
[大 中 小] 评论:
0
IP-SLA
IPSLA常见问题及配置
1.什么是IPSLA?
ServiceLevelAggrement(服务等级协议)在ISP领域指的是用户和服务提供上签订的服务等级合同。
用户可以享受什么样的等级什么样的带宽服务等等。
当然此处我们探讨的和这个无关,我们主要对企业网络环境中应用SLA的作用做探讨。
2)什是静态浮动路由?
浮动静态路由是一种静态路由,在主路由失效时,提供备份路由。
但在主路由存在的情况下它不会出现在路由表中。
浮动静态路由主要用于拔号备份.
3)IPSLA有什么功能?
-检测路由器之间的网络性能。
-量化当前网络的性能,健康状况。
-评估现有网络的服务质量。
-帮助用户分析,排除网络故障。
-和浮动静态路由,HSRP等技术结合做track功能(工程中应用较多的实例,也是我们本动画探讨的一个重点)
4)IPSLA原理?
通过发送测试报文,对网络性能,服务质量进行分析,并为用户提供网络服务质量的各种参数,例如:
抖动延迟,文件传输速率,TCP时延等等。
配置
今日的网络环境,无论是局域网还是广域网,冗余已经成为一个重要的因素。
这次的主题涉及一个广域网的冗余——数条广域网链路终结于一个路由器。
最佳、最简单的在思科设备上实现广域网冗余的方法是配合IPSLA使用可靠的静态备份路由。
IPSLA是包含于思科IOS中的可以允许管理员去分析IP应用程序和服务的IP服务等级(IPServiceLevels)的一个软件。
IPSLA利用动态流量监视技术来监视网络中的连续流量。
思科路由器提供IPSLA响应机制为通过网络的数据进行精确的测量。
使用IPSLA,路由器或交换机执行周期性的测量。
测量次数以及可用的测量类型十分丰富,在本文中我只设计ICMPECHO(ICMP响应)功能。
IPSLA其本身就是一个非常大的课题。
让我们来看看一个基本的广域网链路冗余示例的拓扑,如下:
在上图中,思科设备通过两条广域网链路连接至ISP1和ISP2。
现实中最通常的配置是在路由器上配置指向下一跳的默认路由,如下所示:
R1(config)#iproute0.0.0.00.0.0.02.2.2.2
R1(config)#iproute0.0.0.00.0.0.03.3.3.310
正如你所注意到的,指向ISP2的管理距离被设置为10,该条链路是备份链路。
以上配置通过配置两条浮动路由基本满足了我们的需求,但这种配置仅仅适用于路由器广域网接口是up/down或down/down的情景中。
但是更多的情况是,尽管链路是up的,但是我们没有办法抵达网关(下一跳路由器地址),这通常是ISP侧的问题造成的。
在这种情景中,IPSLA成为了工程师的最佳伙伴。
通过添加大约六条IOS命令我们即可拥有更加可靠的自动故障切换的网络环境。
使用IPSLA,思科路由器可以通过因特网控制消息协议(ICMP)ping来对广域网的远端路由器接口的状态(up或down)来进行验证,并在远端路由器接口down时实现本地备份链路的故障切换(备份激活)。
可靠的静态路由备份使用对象跟踪(objecttrack)功能来确保在各种灾难事件中的可靠备份,比如因特网链路失效或对端设备故障等。
IPSLA配置为去ping一个目标地址,比如公网上可路由的ip地址或企业网络中的地址,亦或是你的下一跳ISP路由器地址。
ping请求只应从主链路接口发出。
以下示例配置实现IPSLA生成到ISP1的下一跳地址的icmpping。
R1(config)#ipslamonitor1
R1(config-sla-monitro)#typeechoprotocolipIcmpEcho2.2.2.2source-interfacef1/0
R1(config-sla-monitro-echo)#timeout1000
R1(config-sla-monitro-echo)#threshold2
R1(config-sla-monitro-echo)#frequency3
具体配置过程中,每个IOS版本的命令实现都可能有些微差别,部署需要查询思科文档。
以上命令的版本是IOS12.4(10)。
以上信息配置并启用了IPSLA。
通过设置频率(frequency),ICMPecho请求每3秒发往下一跳地址2.2.2.2。
失效时间(timeout)设置了等待响应包的最大时间。
定义完IPSLA的操作,下一步我们要去定义一个对象来跟踪我们设置的SLA。
通过下面的IOS命令进行设置:
R1(config)#track1ipsla1reachability(注:
3640没有办法找到这条指令)
以上配置用以跟踪IPSLA的操作。
如果没有ping响应包从下一跳返回,track的状态将down,在接收的ping响应包的时候track状态将会转为up。
验证track状态,可以通过showtrack来实现,如下:
以上输出显示,track的状态为down。
每个IPSLA操作维护一个操作返回代码。
这个返回代码由track过程进行解释。
返回代码可以是OK、过载或其他几种返回代码。
最后一个步骤是:
在IPSLA可靠静态路由实现的配置中,为指向ISP的路由器默认路由添加"track"声明,如下所示:
"track1"表示该静态路由只有在track状态为up时才建立;如果track的状态是down,第二条路由将开始转发数据流量。
关于英文原著作者:
SujitNair拥有CCNA,CCNP,CCIP和ITIL工程师认证。
供职与思科系统公司,在路由协议领域提供工程技术支持。
翻译完了,把我的实验拓扑给大家付上一份,有兴趣的做做,如果ipsla的某些命令不支持,可以尝试换换IOS。
Goodnight,my51ctofriends!
思科路由器IPSLA配置实例
思科,路由器,SLA
路由器SLA配置实例
IPsla的功能是很强大的,这只是IPsla的一个小的功能。
举个例子,
某公司拉了一条光纤专线,光纤进来后接收发器再接1841路由器,另外接了一条网通的线备份,正常情况下走电信,电信断了会走网通,通过浮动路由来实现,问题来了,如果电信的光纤在某个局点出了问题,但1841和收发器的连接是好的,即1841的连接电信的接口的1层2层全是OK的,那这时候是不会切换到网通的,如何实现备份呢?
?
?
IPsla可以解决,一要路由可以track一个IP地址,可以通过向一个地址发送icmp包,如果尝试几次收不到回应后认为对方不存在,此路由失效。
在1841上做的
Buildingconfiguration…
version12.4
servicetimestampsdebugdatetimemsec
service
timestampslogdatetimemsec
servicepassword-encryption
debugging
enablesecret5$1$K9cw$ff4.SEldlX3TGV1x1qSdP0
!
noaaa
new-model
!
resourcepolicy
!
mmipolling-interval60
nommi
auto-configure
nommipvc
mmisnmp-timeout180
ipsubnet-zero
ipcef
noipdomain
lookup
!
-----------------------------建立sla
ipslamonitor1
typeechoprotocolipIcmpEchox.x.x.x
request-data-size
1400
timeout1000
threshold2
frequency3
ipslamonitorschedule1lifeforeverstart-timenow
!
!
!
-----------------------------------建立track
track2rtr1
!
track3rtr1reachability
interfaceFastEthernet0/0
ipaddressx.x.x.x255.255.255.252
speed
10
half-duplex
cryptomapclientmap
!
interface
FastEthernet0/1
ipaddress192.168.10.1255.255.255.0
duplex
auto
speed
auto
!
--------------------------------------HSRP
track
standby1track2
standby1track3
!
ip
classless
!
------------------------------------路由
track
iproute1.1.1.1255.255.255.255x.x.x.xtrack2
iproute0.0.0.0
0.0.0.0x.x.x.x
!
iphttpserver
noiphttp
secure-server
!
!
----------------------------------策略路由
track
route-maptestpermit10
matchipaddress1
setipnext-hop
verify-availabilityx.x.x.x1track
2
!
!
!
control-plane
!
ipsla配置和注解
1)IPSlA/track
本地路由设备到下一台三层交换机之间串接一台透明设备,当对端shutdown状态,本地设备仍处于UP,这时将导致所谓的"黑洞"现象,
我们可以通过SLA来做网络端到端的可用性监测,从而解决这个问题。
R871(config)#ipsla64
R871(config-ip-sla)#icmp-echo192.168.64.2
R871(config)#ipslaschedule64lifeforeverstart-timenow
R871(config)#ipsla65
R871(config-ip-sla)#icmp-echo192.168.65.2
R871(config)#ipslaschedule65lifeforeverstart-timenow
---采用icmp协议来监视,即发出icmpecho包来探测对端的可达性,192.168.64.2/65.2为对端IP地址
2)定义SLA监视组
R871(config)#track64rtr64reachability……定义跟踪组
R871(config)#track65rtr65reachability
3)定义icmp失效时效
schedulermax-task-time5000
4)定义需要指定源路由的ip地址
access-list68permit192.168.68.00.0.0.255
5)配置路由策略
route-maptestpermit10
matchipaddress68
setipnext-hopverify-availability192.168.65.210track65
setipnext-hopverify-availability192.168.64.264track64
exit
6)接口应用路由策略
interfaceFastEthernet4
ipaddress192.168.66.2255.255.255.0
ippolicyroute-maptest
exit
7)缺省路由应用track
iproute0.0.0.00.0.0.0192.168.64.210track64
iproute0.0.0.00.0.0.0192.168.65.2100track65
R871#shrun
Buildingconfiguration…
Currentconfiguration:
2905bytes
Lastconfigurationchangeat16:
06:
20bjtWedNov112009
NVRAMconfiglastupdatedat10:
37:
12bjtWedNov112009
version12.4
noservicepad
servicetimestampsdebugdatetimemseclocaltimeshow-timezone
servicetimestampslogdatetimemseclocaltimeshow-timezone
servicepassword-encryption
servicesequence-numbers
hostnameR871
boot-start-marker
bootsystemflash:
/c870-advsecurityk9-mz.124-15.T9.bin
boot-end-marker
loggingbuffered4096
nologgingconsole
enablesecret5$1$9jvT$n/KkFKrWqAO2GJ8fXNJEc0
noaaanew-model
clocktimezonebjt8
dot11syslog
ipcef
noipdomainlookup
archive
logconfig
hidekeys
interfaceFastEthernet0
interfaceFastEthernet1
shutdown
interfaceFastEthernet2
switchportaccessvlan5
interfaceFastEthernet3
switchportaccessvlan5
interfaceDot11Radio0
noipaddress
shutdown
speedbasic-1.0basic-2.0basic-5.56.09.0basic-11.012.018.024.036.048.054.0
station-roleroot
interfaceVlan1
ipaddress192.168.64.254255.255.255.0
interfaceVlan5
ipaddress192.168.65.254255.255.255.0
ipforward-protocolnd
iproute0.0.0.00.0.0.0192.168.64.210track64
iproute0.0.0.00.0.0.0192.168.65.2100track65
iproute192.168.67.0255.255.255.0192.168.66.254
iproute192.168.68.0255.255.255.0192.168.66.254
iproute193.168.1.254255.255.255.255192.168.66.254
iproute193.168.2.254255.255.255.255192.168.66.254
iphttpserver
noiphttpsecure-server
ipsla64
icmp-echo192.168.64.2
ipslaschedule64lifeforeverstart-timenow
配置SAA检查连通性。
并跟踪这结果。
很精巧的实现思路。
ipsla65
icmp-echo192.168.65.2
ipslaschedule65lifeforeverstart-timenow
配置SAA检查连通性。
并跟踪这结果。
很精巧的实现思路。
track64rtr64reachability
track65rtr65reachability
定义访问控制列表,permit选项为需要重定向的数据包
access-list168deny ip192.168.68.00.0.0.255192.168.64.00.0.0.255
access-list168deny ip192.168.68.00.0.0.255192.168.65.00.0.0.255
access-list168permitip192.168.68.00.0.0.255any
定义策略路由
route-maptestpermit10
matchipaddress168
setipnext-hopverify-availability192.168.65.210track65
setipnext-hopverify-availability192.168.64.264track64
应用策略路由
interfaceFastEthernet4
ipaddress192.168.66.2255.255.255.0
ippolicyroute-maptest
duplexauto
speedauto
control-plane
aliasexecrtshowiproute
aliasexecscshowcdpnei
aliasexecsvshowver
aliasexecstshowclo
aliasexecctconfigt
aliasexecsrshrun
aliasexecsishowinterface
aliasexecccclearcounter
aliasexecclclearlog
aliasexecslshowlog
aliasexecsnsshowntpstatus
aliasexeccacclearaccess-listcounters
aliasexecsashowaccess-list
linecon0
nomodemenable
lineaux0
linevty04
password701100F175804
login
schedulermax-task-time5000
ntpsourceFastEthernet0
ntpserver132.163.4.103
end
其实这是客户需要才试出来的,我对ipsla的功能也不是很熟悉,只实现到静态路由的自动备份和切换功能!
直接用静态路由配合route-map和IPSLA就能实现
默认一个子网通过route-map1,优先走线路1,同时在route-map1中调用IPSLA,监测线路1的下一条是否可达,如果可达,走线路1,不可达,走常规路由,也就是走静态路由,两条静态路由也要开启track调用IPSLA.
同理,第二个子网通过route-map2,优先走线路二,同时在route-map2中调用IPLSA,监测线路2的下一条是否可达,可达走线路2,不可达,走静态路由,静态路由也通过track调用IPSLA,监测下一跳。
升级会员 