Zwei Cisco ASA 5525-X als Internet-Gateways ohne Schicht 2

11

Fügen Sie der Liste einen weiteren Grund hinzu, NAT zu hassen. Ich spreche zwei Internet-Austrittspunkte in unserem Unternehmensnetzwerk an. Die Edge-Geräte sind ASA 5525-X-Firewalls. Traditionell würden Sie diese in eine Art Cluster einfügen, dies erfordert jedoch eine L2-Konnektivität. Da sich diese Geräte in separaten Teilen meines Netzwerks befinden, ist die L2-Konnektivität keine einfache Option.

Meine derzeitige Lösung besteht darin, beide als unabhängige Firewalls aufzurufen und von jeder eine Standardroute anzukündigen. Jeder ECMP sollte für jeden Flow den gleichen Hash haben und ihn in Richtung der "richtigen" Ausgangs-Firewall verschieben.

Meine Frage lautet:

  1. Gibt es eine Möglichkeit, zwei ASAs zu gruppieren, ohne eine L2-Verbindung zu benötigen?
  2. Ich möchte ein zweites / drittes / hundert Augenpaar auf meine aktuelle Lösung setzen, vorausgesetzt "Nein" ist die Antwort auf # 1.
Bigmstone
quelle

Antworten:

11

Ich denke, Sie haben zwei Möglichkeiten:

  1. Legen Sie eine Internetverbindung als primäre und die andere als Failover fest
  2. Implementieren Sie das Routing "NAT außerhalb" (öffentlicher Raum) zwischen den Standorten mit den Firewalls

Die erste Option stellt sicher, dass der Datenverkehr immer entweder durch die eine oder die andere Firewall geleitet wird, damit NAT nicht beschädigt wird.

Mit der zweiten Option können Sie den Lastausgleich über beide Leitungen hinweg durchführen: Eine Standardroute zu gleichen Kosten von jeder Leitung, wobei Ihre lokalen öffentlichen Präfixe für beide Leitungen angekündigt werden. (Diese Option ignoriert, wie die Konnektivität zwischen den Standorten hergestellt wird.)

Jeremy Stretch
quelle
7

Ich habe nicht viel Erfahrung mit ASAs, daher kann ich Frage 1 nicht wirklich beantworten.

Seien Sie jedoch vorsichtig mit Ihren Annahmen zu ECMP. Unterschiedliche Geräte behandeln ECMP unterschiedlich. Ich habe ECMP-Implementierungen von der Granularität des Lastausgleichs "pro Zielpräfix" (der fast gar nicht ECMP ist) bis zum Lastausgleich "pro Paket" gesehen.

Sie müssen Ihre Routing-Handhabung etwas ausgefeilter gestalten, damit dies funktioniert. Suchen Sie nach den von ioshints veröffentlichten DCI-Verbindungsinformationen, die Ihnen dabei helfen sollen, herauszufinden, wie Sie Ihr Netzwerk dafür gestalten können. Entschuldigung, ich habe keine URL in der Nähe.

Jeff McAdams
quelle
5

Persönlich würde ich nicht einmal über Fernclustering nachdenken. Ich glaube, die Empfehlung von Cisco ist die direkte Kabelverbindung. ECMP ist möglicherweise funktionsfähig, es ist jedoch wichtig, dass Sie pro Ziel (die Cisco-Standard-AFAIK) und nicht pro Paket arbeiten. Berücksichtigen Sie die Auswirkungen auf eine passive FTP-Übertragung, für die zwei ausgehende Verbindungen erforderlich sind.

Dennis Olvany
quelle