Firewall-Replikation

10

Wenn ich zwei Rechenzentrumsstandorte habe, die als redundant zueinander gelten. Ist es möglich, die Firewall-Konfiguration vom primären zum Backup zu synchronisieren? Was ist der beste Weg, um beide Firewalls gleichzeitig auf dem neuesten Stand zu halten?

Wenn ja, was ist erforderlich?

Verwendete Ausrüstung:

  • Haupt DC
    • Zwei Cisco ASAs mit 8.2.5
  • Remote DC
    • Zwei Cisco ASAs mit 8.6

Die Verbindung zwischen den beiden DCs ist eine L2-Verbindung, die beide DC-Kerne verbindet. Die ASAs sind mit jedem Kern verbunden.

cisco-asa redundancy failover user1477
quelle
4
Sie haben dies als "cisco-asa" markiert. Verwenden Sie ASAs in Ihren Rechenzentren? Die Antwort hängt davon ab, welche Firewalls Sie verwenden sowie von der Version der Software und den darauf ausgeführten lizenzierten Funktionen. Bitte geben Sie diese Informationen in Ihrer Frage an.
John Jensen
3
Wie weit sind die betreffenden Rechenzentren voneinander entfernt? Denken Sie daran, dass Sie versuchen sollten, Ihre Latenz unter 10 ms zu halten, um die beste Failover-Leistung zu erzielen
Mike Pennington
Hat dir eine Antwort geholfen? Wenn ja, sollten Sie die Antwort akzeptieren, damit die Frage nicht für immer auftaucht und nach einer Antwort sucht. Alternativ können Sie Ihre eigene Antwort bereitstellen und akzeptieren.
Ron Maupin

Antworten:

4

Wir haben ein ähnliches Setup, aber mit zwei Sätzen von 8.2 (5), und wir haben ein internes Skript verwendet, um Konfigurationsänderungen am primären Paar zu erkennen, die erforderlichen Details zu ändern, um es im zweiten DC verbindbar zu machen, und die Konfiguration an das zu senden zweites Firewall-Paar und schließlich neu starten.

Dies funktioniert nur bei uns, da das zweite FW-Paar vollständig passiv ist, während ein Failover nicht aktiv ist.

Alles, was das Skript im Grunde tut, ist, die aktive Konfiguration abzurufen, einen regulären Ausdruck auszuführen, um die Verwaltungsdetails durch die des zweiten Paares zu ersetzen, einen regulären Ausdruck, um den SNMP, den Hostnamen usw. zu ersetzen. Sobald dies erledigt ist, wird die Konfiguration von TFTP auf das zweite Paar übertragen und ein Neustart eingeleitet .

David Rothera
quelle
Wenn Sie möchten, kann ich es auf Github oder etwas als Referenz hochladen.
David Rothera
Skriptlösungen sind wahrscheinlich das Beste, was Sie tun können, um vier Firewalls in einer schwierigen Phase der Konfigurationssynchronisation zu halten ... obwohl dies architektonisch auf ein Aktiv / Standby-DC-Szenario beschränkt ist
Mike Pennington,
Das wäre toll! Oder senden
Sie eine
Kann ich fragen, warum Sie die FWs nach Konfigurationsänderungen neu starten lassen? Warum sollte es nicht funktionieren, wenn die Konfiguration ausgeführt wird?
Bigmstone
Wir haben es immer getan, da einige der Änderungen nicht einfach durchgeführt werden können, wenn nur die laufende Konfiguration überschrieben wird.
David Rothera