Veamos como implementar una ruta por defecto fiable con un firewall Cisco ASA. El objetivo es tener siempre una ruta por defecto, por lo tanto usaremos un monitor SLA.

Usaremos esta topología:

ASA SLA

Necesitamos tener acceso permanente a 172.17.172.0/24 incluso si uno de los dos routers o sus enlaces fallan.

Utilizaremos lo que se llama Static Reliable Routing. Esta característica nos permite crear un rastreador que hará ping a intervalos e informará sobre la alcanzabilidad del destino. Este rastreador puede estar vinculado a una ruta estática que será utilizada por nuestro cortafuegos mientras el rastreador esté activo. También instalaremos otra ruta estática con una distancia administrativa mayor, y esta ruta se activará cuando el rastreador notifique un fallo y elimine su ruta asociada.

Necesitamos un monitor SLA -Service Level Agreement- que hará ping para verificar la alcanzabilidad. Necesitaremos también un objeto especial, el rastreador, que apuntará al monitor SLA, y la ruta estática apuntará al propio rastreador.

Es algo bastante parecido a la Ruta Estática Flotante si quieres echar un vistazo por Internet.

Veamos el video de demostración:

Static Reliable Routing with Cisco ASA

Ten en cuenta que los temporizadores configurados son los por defecto, por lo que hay un minuto entero entre cada comprobación de alcanzabilidad de SLA. Por supuesto, puedes ajustar esto para lograr un mayor ratio de conectividad y reducir los tiempos de interrupción.