Репликация брандмауэра

10

Если у меня есть два сайта центров обработки данных, которые считаются избыточными друг для друга. Можно ли синхронизировать конфигурацию брандмауэра с основного на резервную? Каков наилучший способ обновления обоих брандмауэров одновременно?

Если так, что требуется?

Используемое оборудование:

  • Главный DC
    • Два Cisco ASA работают 8.2.5
  • Удаленный DC
    • Два Cisco ASA работают 8,6

Линия между двумя DC является линией L2, соединяющей оба ядра DC. ASA подключается к каждому ядру.

cisco-asa redundancy failover user1477
источник
4
Вы пометили это как "cisco-asa" - вы используете ASA в своих центрах обработки данных? Ответ будет зависеть от того, какие брандмауэры вы используете, а также от версии программного обеспечения и работающих на них лицензионных функций. Пожалуйста, включите эту информацию в свой вопрос.
Джон Дженсен
3
Как далеко друг от друга находятся центры обработки данных? Имейте в виду, что вы должны стараться удерживать задержку менее 10 мс для лучшей производительности восстановления после сбоев
Майк Пеннингтон,
Вам помог какой-нибудь ответ? Если это так, вы должны принять ответ, чтобы вопрос не появлялся вечно, ища ответ. Кроме того, вы можете предоставить и принять свой собственный ответ.
Рон Мопин

Ответы:

4

У нас есть аналогичная настройка, но с двумя наборами 8.2 (5), и мы использовали собственный сценарий для обнаружения изменений конфигурации первичной пары, изменения необходимых деталей, чтобы сделать его подключаемым во втором DC, и передачи конфигурации в вторая пара межсетевого экрана и, наконец, перезагрузка.

Это работает только для нас, потому что вторая пара FW полностью пассивна, а аварийное переключение не активно.

Все, что в основном делает скрипт - это вытянуть активную конфигурацию, запустить регулярное выражение для замены деталей управления данными второй пары, регулярное выражение для замены SNMP, имени хоста и т. Д. После этого TFTP переводит конфигурацию во вторую пару и инициирует перезагрузку. ,

Дэвид Ротера
источник
Если вы хотите, я могу загрузить его на GitHub или что-то для справки.
Дэвид Ротера
Решения для сценариев, вероятно, лучшее, что вы можете сделать, чтобы поддерживать четыре брандмауэра в некоторой грубой стадии синхронизации конфигурации ... хотя это архитектурно ограничено сценарием активного / резервного DC
Майк Пеннингтон,
Это было бы прекрасно! Или по электронной почте dannyvanzee@gmail.com
user1477
Могу ли я спросить, почему у вас перезагрузка FW после изменения конфигурации? Почему бы не перенести его на работу с конфигурацией?
Bigmstone
Мы всегда делали это, поскольку некоторые изменения не могут быть легко осуществлены, если просто перезаписать running-config.
Дэвид Ротера