IPSLA介紹和配置

1、今日的網絡環(huán)境，無論是局域網還是廣域網，冗余已經成為一個重要的因素。這次的主題涉及一個廣域網的冗余數條廣域網鏈路終結于一個路由器。最佳、最簡單的在思科設備上實現廣域網冗余的方法是配合IP SLA使用可靠的靜態(tài)備份路由。IP SLA是包含于思科IOS中的可以允許管理員去分析IP應用程序和服務的IP服務等級（IP Service Levels）的一個軟件。IP SLA利用動態(tài)流量監(jiān)視技術來監(jiān)視網絡中的連續(xù)流量。思科路由器提供IP SLA響應機制為通過網絡的數據進行精確的測量。使用 IP SLA，路由器或交換機執(zhí)行周期性的測量。測量次數以及可用的測量類型十分豐富，在本文中我只設計ICMP ECHO（

2、ICMP響應）功能。IP SLA其本身就是一個非常大的課題。讓我們來看看一個基本的廣域網鏈路冗余示例的拓撲，如下：在上圖中，思科設備通過兩條廣域網鏈路連接至ISP1和ISP2?，F實中最通常的配置是在路由器上配置指向下一跳的默認路由，如下所示：R1（config）# ip route R1（config）# ip route .0 10正如你所注意到的，指向ISP2的管理距離被設置為10，該條鏈路是備份鏈路。以上配置通過配置兩條浮動路由基本滿足了我們的需求，但這種配置僅僅適用于路由器廣域網接口是up/down或down/down的情景中。但是更多的情況是，盡管鏈路

3、是up的，但是我們沒有辦法抵達網關（下一跳路由器地址），這通常是ISP側的問題造成的。在這種情景中，IP SLA成為了工程師的最佳伙伴。通過添加大約六條IOS命令我們即可擁有更加可靠的自動故障切換的網絡環(huán)境。使用IP SLA，思科路由器可以通過因特網控制消息協議（ICMP）ping來對廣域網的遠端路由器接口的狀態(tài)（up 或 down）來進行驗證，并在遠端路由器接口down時實現本地備份鏈路的故障切換（備份激活）?？煽康撵o態(tài)路由備份使用對象跟蹤（object track）功能來確保在各種災難事件中的可靠備份，比如因特網鏈路失效或對端設備故障等。IP SLA配置為去ping一個目標地址，比如公網上

4、可路由的ip地址或企業(yè)網絡中的地址，亦或是你的下一跳ISP路由器地址。ping請求只應從主鏈路接口發(fā)出。以下示例配置實現IP SLA生成到ISP1的下一跳地址的icmp ping。R1（config）#ip sla monitor 1R1（config-sla-monitro）#type echo protocol ipIcmpEcho .2 source-interface f1/0R1（config-sla-monitro-echo）# timeout 1000R1（config-sla-monitro-echo）# threshold 2R1（config-sla-monitro-ech

5、o）# frequency 3具體配置過程中，每個IOS版本的命令實現都可能有些微差別，部署需要查詢思科文檔。以上命令的版本是 IOS 12.4(10)。以上信息配置并啟用了IP SLA。通過設置頻率（frequency）,ICMP echo請求每3秒發(fā)往下一跳地址.2。失效時間（timeout）設置了等待響應包的最大時間。定義完IP SLA的操作，下一步我們要去定義一個對象來跟蹤我們設置的SLA。通過下面的IOS命令進行設置：R1(config)#track 1 ip sla 1 reachability （注：3640沒有辦法找到這條指令）以上配置用以跟蹤IP SLA的操作。如果沒有pin

6、g響應包從下一跳返回，track的狀態(tài)將down，在接收的ping響應包的時候track狀態(tài)將會轉為up。驗證track狀態(tài)，可以通過show track來實現，如下：以上輸出顯示，track的狀態(tài)為down。每個IP SLA操作維護一個操作返回代碼。這個返回代碼由track過程進行解釋。返回代碼可以是OK、過載或其他幾種返回代碼。最后一個步驟是：在IP SLA可靠靜態(tài)路由實現的配置中，為指向ISP的路由器默認路由添加"track"聲明，如下所示："track 1"表示該靜態(tài)路由只有在track狀態(tài)為up時才建立；如果track的狀態(tài)是down，第二條路

7、由將開始轉發(fā)數據流量。關于英文原著作者：Sujit Nair擁有CCNA，CCNP，CCIP 和ITIL 工程師認證。供職與思科系統(tǒng)公司，在路由協議領域提供工程技術支持。翻譯完了，把我的實驗拓撲給大家付上一份，有興趣的做做，如果ip sla的某些命令不支持，可以嘗試換換IOS。Good night, my 51cto friends!思科路由器IP SLA配置實例思科, 路由器, SLA路由器SLA配置實例IP sla的功能是很強大的，這只是IP sla的一個小的功能。舉個例子，某公司拉了一條光纖專線，光纖進來后接收發(fā)器再接1841路由器，另外接了一條網通的線備份，正常情況下走電信，電信斷了會

8、走網通，通過浮動路由來實現，問題來了，如果電信的光纖在某個局點出了問題，但1841和收發(fā)器的連接是好的，即1841的連接電信的接口的1層2層全是OK的，那這時候是不會切換到網通的，如何實現備份呢？IP sla可以解決，一要路由可以track一個IP地址，可以通過向一個地址發(fā)送icmp包，如果嘗試幾次收不到回應后認為對方不存在，此路由失效。在1841上做的Building configuration.version 12.4service timestamps debug datetime msecservicetimestamps log datetime msecservice passwo

9、rd-encryptiondebuggingenable secret 5 $1$K9cw$ff4.SEldlX3TGV1x1qSdP0!no aaanew-model!resource policy!mmi polling-interval 60no mmiauto-configureno mmi pvcmmi snmp-timeout 180ip subnet-zeroip cefno ip domainlookup!- 建立slaip sla monitor 1type echo protocol ipIcmpEcho x.x.x.xrequest-data-size1400timeou

10、t 1000threshold 2frequency 3ip sla monitor schedule 1 life forever start-time now! !- 建立tracktrack 2 rtr 1!track 3 rtr 1reachabilityinterface FastEthernet0/0ip address x.x.x.x 52speed10half-duplexcrypto map clientmap!interfaceFastEthernet0/1ip address duplexaut

11、ospeedauto!-HSRPtrackstandby 1 track 2standby 1 track 3!ipclassless!- 路由trackip route .1 55 x.x.x.x track 2ip route x.x.x.x!ip http serverno ip httpsecure-server!- 策略路由trackroute-map test permit 10match ip address 1set ip next-hopverify-availability x.x.x.x 1 track2!contr

12、ol-plane!ip sla配置和注解1)IP SlA/track本地路由設備到下一臺三層交換機之間串接一臺透明設備，當對端shutdown狀態(tài),本地設備仍處于UP，這時將導致所謂的“黑洞”現象，我們可以通過SLA來做網絡端到端的可用性監(jiān)測，從而解決這個問題。R871(config)#ip sla 64R871(config-ip-sla)# icmp-echo R871(config)#ip sla schedule 64 life forever start-time nowR871(config)#ip sla 65R871(config-ip-sla)# ic

13、mp-echo R871(config)#ip sla schedule 65 life forever start-time now-采用icmp協議來監(jiān)視，即發(fā)出icmp echo包來探測對端的可達性,/65.2為對端IP地址2)定義SLA監(jiān)視組R871(config)#track 64 rtr 64 reachability.定義跟蹤組R871(config)#track 65 rtr 65 reachability3)定義icmp失效時效scheduler max-task-time 50004)定義需要指定源路由的ip地址access-

14、list 68 permit .2555)配置路由策略route-map test permit 10match ip address 68set ip next-hop verify-availability 10 track 65set ip next-hop verify-availability 64 track 64exit6)接口應用路由策略interface FastEthernet4ip address ip policy route-map tes

15、texit7)缺省路由應用trackip route 10 track 64ip route 100 track 65R871#sh runBuilding configuration.Current configuration : 2905 bytesLast configuration change at 16:06:20 bjt Wed Nov 11 2009NVRAM config last updated at 10:37:12 bjt Wed Nov 11 2009v

16、ersion 12.4no service padservice timestamps debug datetime msec localtime show-timezoneservice timestamps log datetime msec localtime show-timezoneservice password-encryptionservice sequence-numbershostname R871boot-start-markerboot system flash:/c870-advsecurityk9-mz.124-15.T9.binboot-end-markerlog

17、ging buffered 4096no logging consoleenable secret 5 $1$9jvT$n/KkFKrWqAO2GJ8fXNJEc0no aaa new-modelclock timezone bjt 8dot11 syslogip cefno ip domain lookuparchivelog config  hidekeysinterface FastEthernet0interface FastEthernet1shutdowninterface FastEthernet2switchport access vlan 5interfa

18、ce FastEthernet3switchport access vlan 5interface Dot11Radio0no ip addressshutdownspeed basic-1.0 basic-2.0 basic-5.5 6.0 9.0 basic-11.0 12.0 18.0 24.0 36.0 48.0 54.0station-role rootinterface Vlan1ip address 54 interface Vlan5ip address 54 ip forwar

19、d-protocol ndip route .0 10 track 64ip route 100 track 65ip route 54ip route 54ip route 54 55 54ip route 54 55 1

20、54ip http serverno ip http secure-serverip sla 64icmp-echo ip sla schedule 64 life forever start-time now配置SAA檢查連通性。并跟蹤這結果。很精巧的實現思路。ip sla 65icmp-echo ip sla schedule 65 life forever start-time now配置SAA檢查連通性。并跟蹤這結果。很精巧的實現思路。track 64 rtr 64 reachabilitytrack 65 rtr

21、65 reachability定義訪問控制列表，permit選項為需要重定向的數據包access-list 168 deny   ip 55 55access-list 168 deny   ip 55 55access-list 168 permit ip 55 any定義策略路由route-map test permit 10match ip addre

22、ss 168set ip next-hop verify-availability 10 track 65set ip next-hop verify-availability 64 track 64應用策略路由interface FastEthernet4ip address ip policy route-map testduplex autospeed autocontrol-planealias exec rt show ip routealias exec sc show cdp neialias exec sv show veralias exec st show c