Policy Based Routing en Cisco ASA


Se hizo esperar pero finalmente ya está disponible esta función para los ASA de nueva generación!

Normalmente las decisiones de layer 3 (enrutamiento) se realizan a partir de la tabla de enrutamiento. Esta puede ser nutrida a través de rutas estáticas o protocolos de enrutamiento.

El Policy Based Routing es una función que existía hace tiempo en los routers de Cisco y nos permitía tomar decisiones de enrutamiento (entre otras) antes de pasar a la tabla usual. Esto nos permitía, entre otras cosas, armar balanceos de carga, discriminación de servicios, redundancia y políticas de calidad de servicio.

Lamentablemente los Cisco ASA a pesar de su gran popularidad, no contaban con esta función. Lo máximo que se podía hacer (a través del licenciamiento Security Plus)era tener un segundo enlace WAN que pasaría de pasivo a activo ante la falla del primario. Si bien es útil, quedaba un sinsabor por saber que teníamos siempre un enlace en desuso.

La buena noticia es que a partir de la versión 9.4 de ASA esta función ya está disponible. Será cuestión de ver si la plataforma con la que contamos soporta esta versión y hacer el upgrade correspondiente (linea vieja no, linea nueva si).

 

401909

 

 

Funcionamiento:

Primero debemos configurar una ACL que “matchee” con el tráfico que queremos manipular.

Ej. Todo el tráfico de la LAN HTTP/HTTPS

Luego debemos agregar un Route Map que será el macro sobre el cuál se agregarán las acciones.

Proximo paso será definir que hacer con ese tráfico a partir de una acción “Set”.

Ej. Enviar el tráfico de la ACL al enlace secundario asimetrico de bajo costo. Conmutar al primario en caso de indisponibilidad del primario.

Cuando tenemos todo listo, aplicamos el route-map sobre la interfaz de entrada (inside mayormente).

 

De esta manera tendríamos un hipotético caso de un cliente con dos enlaces de Internet, uno de mayor calidad, costo y mejor ancho de banda y un secundario de menor costo y calidad pero mayor ancho de banda. En situación normal el tráfico “no importante” iría por el secundario dejando el primario para las aplicaciones de negocio más criticas. Ante la caída del enlace secundario conmutaríamos al primario. Se usarían los dos enlaces de manera eficiente.

De mas esta decir que podríamos hacer lo mismo a la inversa, en donde ante la indisponibilidad del enlace primario haga conmutar al secundario. Lo que sí deberíamos considerar es que pasa con los servicios alojados en la IP pública principal y establecer una estrategia de contingencia (DNS, redundancia de IP, etc).

 

Tenemos que tener cuidado al momento de realizar estas configuraciones para no generar comportamientos indeseados. Un cuidado especial se encuentra en caso de tener configurado el DHCP server sobre el ASA ya que puede traer conflicto. Dejo un caso del foro de Cisco para referencia.

 

 

Release notes ASA 9.4: 

http://www.cisco.com/c/en/us/td/docs/security/asa/asa94/release/notes/asarn94.html#pgfId-116518

 

Configuración de ejemplo: 

http://www.cisco.com/c/en/us/td/docs/security/asa/asa94/config-guides/cli/general/asa-94-general-config/route-policy-based.html#ID-2182-00000184

 

Cuidados DHCP:

https://supportforums.cisco.com/discussion/12159636/policy-based-routing-breaks-dhcp

 

Si querés que evaluemos como agregar esta funcionalidad en tu plataforma y las mejoras que traería, no dudes en contactarnos!

 

Fernando Zamora, CCNP Collab.

Presales Engineer Voipacket.

fernando.zamora@voipacket.com

Comentarios

Comentarios