思科ASA防火墙实现动态路由协议的全冗余

　　在最近的博文中，Carroll使用命令行解决了思科ASA和BGP对等操作问题。在这里，Carroll将会和大家讨论使用思科ASA防火墙实现动态路由协议(DRP)的全冗余。

　　如果你使用ASA来做冗余，那么当主用设备宕掉时，备用设备就会立即启用。在这种情况下，备用设备会假装活动设备的IP和MAC地址。如果你正在运行路由协议，你就会看到OSPF和EIGRP会被强制重新建立邻接。从而导致漫长的收敛时间和路由抖动。而ASA8.4有一个新功能可以解决这类问题。

　　实现动态路由协议的全冗余：思科ASA 8.4

　　在思科ASA 8.4版本中，有一个新的功能可以帮我们实现动态路由协议(DRP)中的全冗余。

　　全冗余工作在路由协议中， 并且同步冗余设备间的路由信息。这些信息都存储在备份设备的路由表中。

　　当冗余事件发生时，所有包都可以正常传输，因为第二个ASA和主ASA的规则一样，而且现在变成了主用的。一旦冗余发生，RIB的序列号或戳记就会增加，并且重收敛时间也会在新活动设备上开始。

　　接下来，该新活动设备和对等路由器形成邻接关系，并从其他对等体那学习到路由信息。这些路由和我们从全冗余上学习到路由差不多;然而，这些路由信息仍然会被加上更新过的戳记号并放在路由表中，替换之前活动设备中的旧路由。换句话说，旧的出去，新的进来。

　　你可以通过show failover命令来确认冗余设备之间路由信息的发送。从输出地突出部分你可以看到路由信息在活动设备和备份设备间的发送和接受。现在我们可以核实下路由表：

1. ciscoasa(config)# show failover  
2.  
3. Failover On  
4.  
5. Failover unit Secondary  
6.  
7. Failover LAN Interface: failover GigabitEthernet0/0 (up)  
8.  
9. Unit Poll frequency 300 milliseconds, holdtime 900 milliseconds  
10.  
11. ……  
12.  
13. …….  
14.  
15. Stateful Failover Logical Update Statistics  
16.  
17. Link : failover GigabitEthernet0/0 (up)  
18.  
19. Stateful Obj          xmit       xerr       rcv        rerr  
20.  
21. General               2870       0          2644       0  
22.  
23. sys cmd               2572         0          2572       0  
24.  
25. up time        0          0          0          0  
26.  
27. RPC services    0          0          0          0  
28.  
29. TCP conn       0          0          0          0  
30.  
31. UDP conn        0          0          0          0  
32.  
33. ARP tbl               242        0          33         0  
34.  
35. Xlate_Timeout         0          0          0          0  
36.  
37. IPv6 ND tbl           0          0          0          0  
38.  
39. VPN IKEv1 SA   0          0          0          0  
40.  
41. VPN IKEv1 P2          0          0          0          0  
42.  
43. VPN IKEv2 SA          0          0          0          0  
44.  
45. VPN IKEv2 P2          0          0          0          0  
46.  
47. VPN CTCP upd    0          0          0          0  
48.  
49. VPN SDI upd           0          0          0          0  
50.  
51. VPN DHCP upd    0          0          0          0  
52.  
53. SIP Session           0          0          0          0  
54.  
55. Route Session      56              0          39         0  
56.  
57. SIA data              0          0          0          0  
58.  
59. Logical Update Queue Information  
60.  
61. Cur     Max     Total  
62.  
63. Recv Q:        0       7       4304  
64.  
65. Xmit Q:         0       1       23765  
66.  

　　那如果想要查看路由表的序列号，以及增加的路由信息应该用什么样的命令呢?

　　下面我们将介绍通过其他命令查看路由表的序列号，以及增加的路由等。

　　如果我们使用show route failover命令，我们可以看到路由表的序列号。

1. ciscoasa(config)# show route failover  
2.  
3. Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP  
4.  
5. D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area  
6.  
7. N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2  
8.  
9. E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP  
10.  
11. i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area  
12.  
13. * - candidate default, U - per-user static route, o - ODR  
14.  
15. P - periodic downloaded static route  
16.  
17. Gateway of last resort is 10.104.54.129 to network 0.0.0.0  
18.  
19. Routing table seq num 5  
20.  
21. Reconvergence timer expired  
22.  
23. D    20.20.210.0 255.255.255.0  [90/28416] via 192.101.1.30, 0:13:14, outside, seq 5  
24.  
25. D    20.20.249.0 255.255.255.0  [90/30976] via 192.101.1.30, 0:13:14, outside, seq 5  
26.  
27. D    20.20.250.0 255.255.255.0  [90/33536] via 192.101.1.30, 0:13:14, outside, seq 5  
28.  
29. O IA 172.198.40.0 255.255.255.0  [110/30] via 192.168.32.2, 0:12:37, inside, seq 5  
30.  
31. O IA 172.168.34.0 255.255.255.0  [110/20] via 192.168.32.2, 0:12:37, inside, seq 5  
32.  
33. O IA 172.188.36.0 255.255.255.0  [110/30] via 192.168.32.2, 0:12:37, inside, seq 5  
34.  
35. O IA 172.16.30.0 255.255.255.0    [110/20] via 192.168.32.2, 0:12:40, inside, seq 5  
36.  
37. C    10.104.54.0 255.255.255.0 is directly connected, mgmt, seq 4  
38.  
39. C    192.101.1.0 255.255.255.0 is directly connected, outside, seq 5  
40.  
41. C    192.168.253.0 255.255.255.0 is directly connected, failover, seq 0  
42.  
43. C    192.168.32.0 255.255.255.0 is directly connected, inside, seq 5  
44.  
45. S*   0.0.0.0 0.0.0.0 [1/0] via 10.104.54.129, mgmt, seq 5  

　　如果我们使用debug route ha命令，我们将看到下面增加的路由：

1. ROUTE HA: RIB Epoch number 5 assigned to NDB: 192.168.32.0  
2.  
3. ROUTE HA: Sending Message Version: 1 Action: add Object: route Address: 192.168.32.0 Mask: 255.255.255.0  
4.  
5. ROUTE HA: RIB Epoch number 5 assigned to NDB: 172.16.0.0  
6.  
7. ROUTE HA: Sending Message Version: 1 Action: add Object: route Address: 172.16.30.0 Mask: 255.255.255.0  
8.  
9. ROUTE HA: RIB epoch number 5 assigned to SDB: 172.16.30.0  
10.  
11. ROUTE HA: RIB Epoch number 5 assigned to NDB: 172.168.0.0  
12.  
13. ROUTE HA: Sending Message Version: 1 Action: add Object: route Address: 172.168.34.0 Mask: 255.255.255.0  
14.  
15. ROUTE HA: RIB epoch number 5 assigned to SDB: 172.168.34.0  
16.  
17. ROUTE HA: RIB Epoch number 5 assigned to NDB: 172.188.0.0  
18.  
19. ROUTE HA: Sending Message Version: 1 Action: add Object: route Address: 172.188.36.0 Mask: 255.255.255.0  
20.  
21. ROUTE HA: RIB epoch number 5 assigned to SDB: 172.188.36.0  
22.  
23. ROUTE HA: RIB Epoch number 5 assigned to NDB: 172.198.0.0  
24.  
25. ROUTE HA: Sending Message Version: 1 Action: add Object: route Address: 172.198.40.0 Mask: 255.255.255.0  
26.  
27. ROUTE HA: RIB epoch number 5 assigned to SDB: 172.198.40.0  
28.  

　　该功能在ASA上早已开启，所以你只需要在ASA上设置冗余和路由就可以了。