Меню

Ip sla responder настройка



Cisco IP SLA

Материал из Xgu.ru

IP SLA позволяет создавать тесты.

Один из самых простых примеров теста: проверка доступности ресурса с помощью простого “ping” (отправки ICMP-запроса и ожидания ICMP-ответа).

Тесты также могут быть и более сложными. Например, проверка качества канала по таким характеристикам как jitter и delay.

Содержание

[править] Параметры

Рекомендации Cisco по настройке параметров (frequency, timeout, threshold) для тестов IP SLA UDP jitter:

  • (frequency seconds) > ((timeout milliseconds) + N)
  • (timeout milliseconds) > (threshold milliseconds)

где N = (num-packets number-of-packets) * (interval interpacket-interval)

Рекомендации Cisco по настройке параметров (frequency, timeout, threshold) для других тестов IP SLA:

  • (frequency seconds) > (timeout milliseconds) > (threshold milliseconds)

[править] Threshold

Параметр threshold используется для указания верхнего порогового значения времени.

Значение по умолчанию 5000ms. Значение threshold не должно превышать значение параметра timeout.

Значение параметра threshold для операции:

  • IP SLA UDP jitter:
    • устанавливает верхнее пороговое значение для среднего значения jitter
  • для других операций:
    • устанавливает верхнее пороговое значение для измерения RTT (round-trip time)

IP SLA, соответственно, высчитывает количество раз, когда среднее значение jitter или RTT превышало указанное значение threshold.

[править] Responder

В зависимости от теста, на стороне получателя может быть, или любое устройство с соответствующим сервисом, или оборудование Cisco.

IP SLA, за время существования, сменил несколько вариантов настройки. Поэтому, настройка в другой версии IOS может отличаться от указанной.

[править] Операции

[править] ICMP echo

Часто такого рода тесты привязываются с помощью track к другим объектам. Например, к статическим маршрутам.

Источник

IP SLA на маршрутизаторах Cisco

Read the article IP SLA ON CISCO ROUTER in English

Рано или поздно, но каждая компания сталкивается с проблемой выхода из строя канала связи с интернет. И сразу же после этого встает вопрос об организации резервного канала. Но какие настройки нужно сделать для автоматического переключения на него в случае аварии?

В этой статье описаны настройки для маршрутизаторов Cisco 881 и подобных моделей. Если у вас Cisco ASA, то настройки для них написаны в статье Dual WAN на Cisco ASA.

Один из самых простых и эффективных способов для маршрутизаторов Cisco – использование ip sla monitor. Устройство будет отслеживать доступность основного интернет провайдера и, как только связь пропадет (некий адрес не будет отвечать на icmp запросы в течение нескольких секунд), начнет пересылать трафик через резервный канал.

Рассмотрим настройки на примере стандартной модели маршрутизаторов для небольшого офиса Cisco 881.

  • В интерфейс 3 уровня Fa 4 подключен основной оператор связи;
  • В интерфейс Fa 0 (Vlan 1) подключена локальная сеть офиса;
  • В интерфейс FastEthernet 3 (Vlan 3) подключен резервный провайдер.

Если у вас иная модель, то отличие будет только в названии интерфейсов, но не в сути настроек.

Задача: настроить отказоустойчивое подключение к Интернет (dual wan).

Шаг 1. Проверка маршрутов

Проверяем текущие маршруты на устройстве. Для удобства командой sh run | inc route

выводим строки текущей конфигурации, содержащие слово «route»

R-DELTACONFIG-1# sh run | inc route
Ip route 0.0.0.0 0.0.0.0 10.10.10.1 1

Если переводить с языка устройства на «человеческий», то получится следующее:
«Перенаправлять все пакеты, о которых я не знаю, в сторону интерфейса outside через шлюз 10.10.10.1»
Маршрутизатор «знает» только о тех сетях, которые подключены к нему напрямую (connected) или для которых имеются подобные строки маршрутов.

Шаг 2. Настройка для резервного провайдера

На межсетевом экране уже настроен интерфейс outside (Ethernet 1/Vlan 2), к которому подключен Основной провайдер. В текущей конфигурации (просмотреть командой sh run) будут присутствовать подобные строки:

R-DELTACONFIG-1# sh run

interface Fastethernet 4
ip address 10.10.10.2 255.255.255.252

Добавим настройки для Резервного канала, который подключен к Ethernet 3/Vlan 3
Для этого сначала необходимо создать Vlan для подключения резервного оператора, привязать его к одному из свободных портов и после этого задать ip адрес.

Читайте также:  Rock shox lyrik rc2 настройки

Создание Vlan 3
R-DELTACONFIG-1 #
vlan database
R-DELTACONFIG-1 (vlan)#
vlan 3 name BACKUP_ISP

Проверить текущие настройки можно командой sh current, не выходя из режима настройки Vlan. Достаточно, чтобы Vlan с порядковым номером 3 был в перечне существующих.

R-DELTACONFIG-1 (vlan)#
sh current

Для привязки Vlan 3 к интерфейсу FastEthernet 3 необходимо выйти из режима настройки Vlan и далее зайти в обычный режим конфигурирования conf t. После этого привязать Vlan 3 к интерфейсу FastEthernet 3 и активировать его командой no shut.

R-DELTACONFIG-1 (vlan)#
exit
conf t
R-DELTACONFIG-1 (config)#
interface FastEthernet 3
switchport access vlan 3
no shut

А после создания задать ip адрес и активировать интерфейс командой no shut

R-DELTACONFIG-1 (config)#
interface Vlan 3
ip address 20.20.20.2 255.255.255.252
ip nat outside
no shut

Если все провода подключены и настройки корректны, то для маршрутизатора должен быть доступен шлюз Резервного провайдера.

R-DELTACONFIG-1 # ping 20.20.20.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 20.20.20.1, timeout is 2 seconds:
.
Success rate is 100 percent (5/5) , round-trip min/avg/max = 1/2/4 ms

Шаг 3. Настройка отслеживания доступности провайдера

Для того чтобы маршрутизатор Cisco 881 следил за доступностью Основного канала, необходимо настроить функцию ip sla monitor. С ней через равные временные промежутки будет посылаться ping (icmp запрос) на адрес провайдера 1 (основного). Получение ответного пакета (icmp ответ) будет означать доступность канала.

Что проверять?

В большинстве случаев адрес внешнего интерфейса и шлюза провайдера заранее известны. Поэтому будет достаточно проверять доступность адреса шлюза провайдера. Но здесь есть один подвох. Что произойдет, если шлюз будет все так же доступен, но неисправность будет где-то дальше на сети провайдера? То есть «интернет не работает», но шлюз доступен. Ответ – ничего. Маршрутизатор не сможет распознать неисправность и не переключится на резерв. Сюда же подходят случаи, когда провайдер предоставляет динамический адрес, например, по технологии pppoe.

Чтобы это обойти, часто выбирается какой-то стабильно работающий адрес в Интернете, который вполне может быть в любой точке мира. Далее на маршрутизаторе задается статический маршрут до выбранного адреса через интерфейс основного провайдера. И уже наличие шлюза по умолчанию в сторону основного провайдера ставится в зависимость от доступности выбранного адреса. Тогда, что бы ни случилось со связью, будь то неполадки с настройками маршрутизатора, сбои у оператора связи и другие причины, механизм переключения сработает автоматически. При этом минусом такого подхода будет то, что заветный адрес будет всегда недоступен вместе с основным провайдером. Для этих целей советую использовать адрес 1.1.1.1, который стабильно доступен, но крайне редко используется в повседневной работе пользователей или устройств.

Сложно написано, не так ли? Давайте упростим до алгоритма действий маршрутизатора:

  • Маршрутизатор, знай, что хост 1.1.1.1 всегда находится за шлюзом основного провайдера 10.10.10.1
  • Маршрутизатор, проверяй доступность хоста 1.1.1.1 один раз в 10 секунд
  • Если хост 1.1.1.1 доступен, то шлюз по умолчанию – адрес провайдера 1
  • Если хост 1.1.1.1 недоступен, то шлюз по умолчанию – адрес провайдера 2

Задаем статический маршрут через основного провайдера до адреса 1.1.1.1

R-DELTACONFIG-1 (config)#
ip route 1.1.1.1 255.255.255.255 10.10.10.1

Активируем функцию ip sla
R-DELTACONFIG-1 (config)#
ip sla 1
icmp-echo 1.1.1.1 source-interface Fa 4
threshold 10000

ip sla schedule 1 life forever start-time now

track 1 ip sla 1 reachability

Для справки:
threshold 10000 – Запросы будут посылаться 1 раз в 10 секунд.

Шаг 4. Проверка работы механизма отслеживания

Для проверки работы отслеживания ip sla используется команда sh ip sla statistics

Читайте также:  Настройка exim4 для php

R-DELTACONFIG-1# sh ip sla statistics
IPSLAs Latest Operation Statistics
IPSLA operation id: 1
Latest RTT: 4 milliseconds
Latest operation start time: 14:07:40 MSK Thu Aug 8 2019
Latest operation return code: Over threshold
Number of successes: 15
Number of failures: 0
Operation time to live: Forever

Number of successes: 15 – показывает количество успешных icmp запросов
Number of failures: 0 – показывает количество неудачных запросов

Перед выполнением дальнейших шагов обязательно проверьте вывод этой команды несколько раз, чтобы убедиться, что счетчик успешных срабатываний (successes) растет со временем. Это означает, что основной канал работает стабильно и можно продолжать настройку без риска потерять связь с Интернет.

Шаг 5. Шлюз по умолчанию для Резервного провайдера.

Для Резервного провайдера требуется указать шлюз по умолчанию, куда маршрутизатор Cisco 881 будет отправлять все пакеты, но с одним отличием – этот маршрут не должен учитываться, когда доступен Основной провайдер. Для этого следует понизить приоритет этого маршрута, который здесь называется «административным расстоянием». Необходимо сделать его больше (дороже).

По умолчанию значение административного расстояния для статического маршрута – 1. Зададим для Резервного канала значение, близкое к максимальному – 250

R-DELTACONFIG-1 (config)#
ip route 0.0.0.0 0.0.0.0 20.20.20.1 250

После добавления в конфигурации маршрутизатора Cisco 881 должно быть 2 маршрута по умолчанию

R-DELTACONFIG-1# sh run | inc route
ip route 1.1.1.1 255.255.255.255 10.10.10.1
ip route 0.0.0.0 0.0.0.0 10.10.10.1 1
ip route 0.0.0.0 0.0.0.0 20.20.20.1 250

Шаг 6. Активация переключения

Финальный шаг – привязать основной маршрут к функции слежения за доступностью канала (ip sla).
Добавляем новую строку для шлюза по умолчанию с пометкой track 1 и удаляем старую

R-DELTACONFIG-1 (config)#
ip route 0.0.0.0 0.0.0.0 10.10.10.1 1 track 1
no ip route 0.0.0.0 0.0.0.0 10.10.10.1 1

После этого в итоговой конфигурации останутся две строчки для шлюзов по умолчанию

R-DELTACONFIG-1# sh run | inc route
ip route 1.1.1.1 255.255.255.255 10.10.10.1
ip route 0.0.0.0 0.0.0.0 10.10.10.1 1 track 1
ip route 0.0.0.0 0.0.0.0 20.20.20.1 250

Важно!
Если существуют строки маршрутов для каких-то сетей, кроме шлюза по умолчанию, то следует учесть их наличие при настройке, продумав логику переключения аналогично шлюзу по умолчанию.

Шаг 7. Корректировка NAT

Самое главное, чем отличается настройка dual wan на маршрутизаторах Cisco 881 и Cisco ASA – это необходимость перенастройки трансляции адресов NAT (преобразование внутренних «серых» адресов в «белый» адрес внешнего интерфейса). Если для Cisco ASA достаточно продублировать настройки NAT для резервного провайдера, то для маршрутизаторов Cisco необходимо перенастраивать логику команд.

«Обычные» настройки NAT для доступа в сеть Интернет для пользователей сводится к указанию диапазона внутренних адресов и добавления правила «транслируй «эти адреса» в адрес внешнего интерфейса». Фактически описывается трафик ДО попадания на внутренний интерфейс маршрутизатора.

ip access-list standard ACL_NAT
permit 192.168.10.0 0.0.0.255

Interface Vlan 1
ip nat inside

Interface Fa 4
ip nat outside

ip nat inside source list ACL_NAT interface fa4

В случае с реализацией отказоустойчивого переключения на резервный канал с помощью ip sla необходимо использовать route-map. Это расширенная функция управления потоком трафика, в настройках которой указывается условие (какой трафик) и действие (что с ним делать).
В нашем случае для каждого из провайдеров создается route-map только с «условиями», в качестве которых выступают:

  • заранее созданный список доступа ACL_NAT, в котором отражен трафик для всех внутренних хостов)
  • Выходной интерфейс (свой для каждого из провайдеров

route-map ROUTE_ISP_MAIN permit 10
match ip address ACL_NAT
match interface FastEthernet 4

route-map ROUTE_ISP_BACKUP permit 10
match ip address ACL_NAT
match interface Vlan 3

Далее необходимо добавить правила для NAT, в которых сослаться на route-map

ip nat inside source route-map ROUTE_ISP_MAIN interface FastEthernet 4 overload
ip nat inside source route-map ROUTE_ISP_BACKUP interface Vlan 3 overload

Читайте также:  Забота об избыточном жире настройка

Важно!

не забудьте проверить, что на каждом из трех интерфейсов, через которые проходит трафик, есть строки о принадлежности к NAT

Interface Vlan 1
ip nat inside
Interface Fa 4
ip nat outside
interface Vlan 3
ip nat outside

Источник

Мониторинг качества связи с помощью технологии IP SLA

Мониторинг наличия и качества связи является важным инструментом администратора сети, т.к. он позволяет не только обнаруживать проблему, но и предвидеть возникновение самой проблемы.

В Cisco IOS встроены несколько тестов для определения состояния сети которые объдинены понятием SLA.
Вообще SLA расшифровывается как Service Level Agreements, что можно перевести как соглашения об уровне обслуживания.

На сегодняшний день SLA поддерживает следующие тесты:
dhcp DHCP Operation
dns DNS Query Operation
ethernet Ethernet Operations
ftp FTP Operation
http HTTP Operation
icmp-echo ICMP Echo Operation
icmp-jitter ICMP Jitter Operation
path-echo Path Discovered ICMP Echo Operation
path-jitter Path Discovered ICMP Jitter Operation
tcp-connect TCP Connect Operation
udp-echo UDP Echo Operation
udp-jitter UDP Jitter Operation
voip Voice Over IP Operation

Применение одной из них (icmp-echo) описано в статье Автопереключение между двумя провайдерами.

Еще одно из полезных применений IP SLA — это автоматическое определение качества связи.
Как известно, наиболее чуствительным к качеству является голосовой трафик, поэтому наиболее ценным тестом является Jitter test.

На качество голоса влияет несколько параметров одновременно:
End-to-end (one way) delay: Это задержка пакета в одну сторону. Должно быть максимум 150ms
Jitter: Разные пакеты могут приходить с разными задержками, эту флуктуацию и определяет параметр jitter. Должно быть максимум 30ms
Packet loss: Потери пакетов должны быть максимум 1%

Эти параметры можно посмотреть на телефоне прямо во время звонка двумя способами:
— Зайти на страницу телефона: Streaming Statistics > stream 1
— Дважды нажать на кнопку «?» на телефоне

Возможны различные комбинации значений этих трех параметров. Например, как показывает практика, вполне можно говорить если End-to-end (one way) delay составляет 200ms, а остальные параметры идеальны. Но совершенно невозможно говорить если Jitter стабильно более 100, даже если остальные два параметра идеальны.

Тест IP SLA Jitter позволяет их всех привести к «общему знаменателю», типа можно говорить или нельзя. Этими едиными параметрами является MoS или ICPIF.
В тесте IP SLA Jitter используется Service Assurance Agent (Cisco SAA). Его работа заключается в симулировании голосового кодека и последующим определением End-to-end (one way) delay, Jitter, Packet loss. По этим параметрам Cisco SAA затем вычисляет MOS и ICPIF.

MOS и ICPIF используются для оценки качества связи и могут быть определены автоматически в результате теста Jitter.
Рассмотрим возможные значения.

ICPIF
5 Very Good
10 Good
20 Adequate
30 Limiting case
45 Exceptional limiting case
55 Customers likely to react strongly

MOS
5 Excelent
4 Good
3 Fair
2 Poor
1 Bad

Как показала практика, наибольшую полезность представляет ICPIF

Реализация

На одном конце
ip sla responder
ip sla 10
udp-jitter 172.16.127.33 20001 source-ip 172.16.127.4 codec g711ulaw codec-size 20
tos 184
frequency 300
ip sla schedule 10 life forever start-time now

access-list 5 permit 192.168.2.49
snmp-server community cmonitor RW 5
snmp-server ifindex persist

На другом конце
ip sla responder
access-list 5 permit 192.168.2.49
snmp-server community cmonitor RW 5
snmp-server ifindex persist

Смотрим текущее значение IP SLA:
show ip sla statistics

Мониторить и анализировать очень удобно с помощью PRTG, где можно использовать сенсор VoIP and Qos > Cisco IP SLA
Натравливаем на роутеры PRTG, — он должен сам увидеть по SNMP созданные на маршрутизаторе элементы IP SLA.

Источник

Adblock
detector