Два Cisco ASA 5525-X в качестве интернет-шлюзов без уровня 2

11

Добавьте еще одну причину ненавидеть NAT в список. Я поднимаю две точки выхода в Интернет в нашей корпоративной сети. Крайними устройствами будут межсетевые экраны ASA 5525-X. Традиционно вы помещаете их в какой-то кластер, но для этого требуется подключение L2. Поскольку эти устройства будут находиться в отдельных частях моей сети, подключение L2 не является простым вариантом.

Мое текущее работающее решение состоит в том, чтобы представить их как независимые брандмауэры и объявить маршрут по умолчанию от каждого. Любой ECMP должен иметь одинаковый хэш для каждого потока и выдвигать его в направлении «правильного» выходного межсетевого экрана.

У меня вопрос такой:

  1. Есть ли способ кластеризации двух ASA без необходимости связи L2?
  2. Я хочу вторую / третью / сотню взглянуть на мое текущее решение, предполагая, что «Нет» - это ответ на вопрос № 1.
bigmstone
источник

Ответы:

11

Я думаю, у вас есть два варианта:

  1. Обозначьте одну интернет-схему как основную, а другую как отказоустойчивую.
  2. Реализовать маршрутизацию "NAT снаружи" (публичное пространство) между сайтами с брандмауэрами

Первый вариант гарантирует, что трафик всегда проходит либо через один межсетевой экран, либо через другой, чтобы NAT не прерывался.

Второй вариант позволяет вам загружать баланс между двумя цепями: один маршрут по умолчанию с равной стоимостью от каждого канала, с вашим местным общедоступным префиксом (ами), объявленным в обоих каналах. (Эта опция игнорирует, как осуществляется соединение между сайтами.)

Джереми Стретч
источник
7

У меня нет большого опыта работы с ASA, поэтому я не могу ответить на вопрос № 1.

Однако будьте осторожны с вашими предположениями о ECMP. Разное оборудование обрабатывает ECMP по-разному. Я видел реализации ECMP от степени детализации балансировки нагрузки "per-destination-prefix" (которая практически не является ECMP) до балансировки нагрузки "per-package".

Вам нужно будет немного сложнее с обработкой маршрутизации, чтобы сделать эту работу. Посмотрите информацию о межсетевом соединении DCI, опубликованную ioshints, которая поможет вам понять, как вы можете спроектировать свою сеть для этого. Извините, у меня нет URL, близкого к этому.

Джефф МакАдамс
источник
5

Лично я бы даже не рассматривал кластеризацию на большие расстояния. Я полагаю, что рекомендация Cisco - прямое кабельное соединение. ECMP может быть работоспособным, но важно сделать это для каждого пункта назначения (Cisco AFAIK по умолчанию), а не для каждого пакета. Рассмотрим влияние пассивной передачи FTP, которая требует двойных исходящих соединений.

Деннис Олвани
источник