RPF (反向路径转发)
检测 抵达 的伪造的源地址,要 找到 一条返回源地址或网络的路由(含默认路由),若没有或反向路径接口与抵达接口不匹配,则丢弃。
启用 RPF :
ciscoasa(config)# ip verify reverse-path interface outside ( 应用在 外部 能防止使用内部地址来欺骗 )
ciscoasa# show ip verify statistics
静态路由
配置
ciscoasa(config)# route outside 0.0.0.0 0.0.0.0 202.192.75.1 (ipv6 route outside 0.0.0.0 0.0.0.0 202.192.75.1)
ciscoasa(config)# clear configure route outside 删除 outside 路由
负载均衡
· 3 条 标准, 同出口 ,仅下一条不一样
· 基于源目 的
tunnel
ciscoasa(config)# route outside 0.0.0.0 0.0.0.0 202.192.75.1 tunnel
加密流量如果没有明细路由,则会使用 tunnel 默认路由,不使用标准的默认路由(没加密则使用标准)
1 个(会覆盖)
(最多 3 条标准 +1 条 tunnel )
查看
ciscoasa(config)# show run route
基于可达性的静态路由
· 静态路由会保持到手动删除(双 ISP 时会有问题)
服务等级协议( SLA , Service Level Agreement ) :监视任意目标地址,进行路由可达性跟踪
1) 定义 SLA 监视过程 ciscoasa(config)# sla monitor 1
2) 定义可达性测试 ciscoasa(config-sla-monitor-echo)#type echo protocol ipIcmpEcho 202.192.75.1 interface outside // 监视的 IP 为下一跳
3) 确定 SLA 监控测试时间 ciscoasa(config)# sla monitor schedule 1 life forever start-time now // 测试时间为永久,从现在开始
4) 启动可达性跟踪 ciscoasa(config)# track 100 rtr 1 reachability
5) 跟踪静态路由 ciscoasa(config)# route outside 0.0.0.0 0.0.0.0 202.192.75.1 track 100
6) 监视静态路由 ciscoasa# show track ciscoasa# debug sla monitor trace
· 第二步的可选项
ciscoasa(config-sla-monitor-echo)# ?
IP SLA Monitor Echo Configuration Commands:
frequency // 测试一次时间间隔 默认 60s
num-packets //echo 测试时发包数 默认 1 个
request-data-size // 设置有效负载大小 大于 28 ,小于 MTU
threshold // 检测网络的阀值 默认 5000ms ( 5s ),阀值很少被超过时,会降低超时和阀值时间
timeout // 超时时间 默认 5000ms ( 5s )
tos // 服务类型 默认 0 ,用于执行 QoS
OSPF
最多 2 进程
network 掩码宣告
ciscoasa(config-router)# network 2.2.2.0 255.255.255.0 area 0
清除配置
ciscoasa(config)# clear configure router ospf
RIP ( 与路由相同 )