Réplication du pare-feu

10

Si j'ai deux sites de centre de données considérés comme redondants l'un par rapport à l'autre. Est-il possible de synchroniser la configuration du pare-feu du primaire vers la sauvegarde? Quelle est la meilleure façon de mettre à jour les deux pare-feu en même temps?

Si oui, que faut-il?

Équipement utilisé:

  • DC principal
    • Deux Cisco ASA exécutant 8.2.5
  • DC à distance
    • Deux Cisco ASA exécutant 8.6

Le lien entre les deux DC est un lien L2 reliant les deux cœurs DC. Les ASA se connectent à chaque cœur.

cisco-asa redundancy failover user1477
la source
4
Vous l'avez étiqueté "cisco-asa" - utilisez-vous des ASA dans vos centres de données? La réponse dépendra des pare-feu que vous utilisez ainsi que de la version du logiciel et des fonctionnalités sous licence qui y sont exécutées. Veuillez inclure ces informations dans votre question.
John Jensen
3
Quelle est la distance entre les centres de données en question? Gardez à l'esprit que vous devez essayer de maintenir votre latence sous 10 ms pour de meilleures performances de basculement
Mike Pennington
Une réponse vous a-t-elle aidé? si c'est le cas, vous devez accepter la réponse afin que la question ne s'affiche pas indéfiniment, à la recherche d'une réponse. Alternativement, vous pouvez fournir et accepter votre propre réponse.
Ron Maupin

Réponses:

4

Nous avons une configuration similaire, mais avec deux ensembles de 8.2 (5) et nous avons utilisé un script interne pour détecter les modifications de configuration de la paire principale, modifier les détails nécessaires pour la rendre connectable dans le deuxième DC et pousser la configuration vers la deuxième paire de pare-feu et enfin redémarrer.

Cela ne fonctionne que pour nous car la deuxième paire FW est complètement passive alors qu'un basculement n'est pas actif.

Tout ce que le script fait est de tirer la configuration active, d'exécuter une expression régulière pour remplacer les détails de gestion par ceux de la deuxième paire, une expression régulière pour remplacer le SNMP, le nom d'hôte, etc. .

David Rothera
la source
Si vous voulez, je peux le télécharger sur github ou quelque chose comme référence.
David Rothera
Les solutions de script sont probablement les meilleures que vous puissiez faire pour conserver quatre pare-feu à un stade approximatif de la synchronisation de la configuration ... bien que cela soit architecturalement limité à un scénario DC actif / de secours
Mike Pennington
Ce serait génial! Ou envoyez un courriel à [email protected]
user1477
Puis-je demander pourquoi vous avez redémarré les FW après des changements de configuration? Pourquoi ne pas le déplacer vers l'exécution de la configuration?
bigmstone
Nous l'avons toujours fait car certaines des modifications ne peuvent pas être effectuées facilement en écrasant simplement la configuration en cours.
David Rothera