Deux Cisco ASA 5525-X comme passerelles Internet sans couche 2

11

Ajoutez une autre raison de détester le NAT à la liste. J'apporte deux points de sortie Internet dans notre réseau d'entreprise. Les périphériques périphériques seront des pare-feu ASA 5525-X. Traditionnellement, vous les placiez dans une sorte de cluster, mais cela nécessite une connectivité L2. Étant donné que ces appareils seront dans des parties distinctes de mon réseau, la connectivité L2 n'est pas une option facile.

Ma solution actuelle consiste à les faire apparaître comme des pare-feu indépendants et à annoncer un itinéraire par défaut à partir de chacun. Tout ECMP doit avoir le même hachage pour chaque flux et le pousser vers le pare-feu de sortie «correct».

Ma question est la suivante:

  1. Existe-t-il un moyen de regrouper deux ASA sans avoir besoin d'une liaison L2?
  2. Je veux une deuxième / troisième / cent paire d'yeux sur ma solution actuelle en supposant que "Non" est la réponse à # 1.
bigmstone
la source

Réponses:

11

Je pense que vous avez deux options:

  1. Désigner un circuit Internet comme principal et l'autre comme basculement
  2. Implémenter le routage "NAT outside" (espace public) entre les sites avec les pare-feu

La première option garantit que le trafic passe toujours par un pare-feu ou l'autre afin que le NAT ne se casse pas.

La deuxième option vous permet d'équilibrer la charge sur les deux circuits: une route par défaut à coût égal à partir de chaque circuit, avec vos préfixes publics locaux annoncés sur les deux circuits. (Cette option ignore la manière dont la connectivité entre les sites est réalisée.)

Jeremy Stretch
la source
7

Je n'ai pas beaucoup d'expérience avec les ASA, donc je ne peux pas vraiment répondre à la question # 1.

Soyez prudent avec vos hypothèses sur ECMP, cependant. Différents équipements traitent ECMP différemment. J'ai vu des implémentations ECMP de la granularité de l'équilibrage de charge "par destination-préfixe" (qui n'est presque pas du tout ECMP), à l'équilibrage de charge "par paquet".

Vous devrez être un peu plus sophistiqué avec votre gestion de routage pour que cela fonctionne. Recherchez les informations d'interconnexion DCI publiées par ioshints, qui devraient vous aider à comprendre comment concevoir votre réseau pour gérer cela. Désolé, je n'ai pas d'URL à portée de main à ce sujet.

Jeff McAdams
la source
5

Personnellement, je n'envisagerais même pas le clustering longue distance. Je crois que la recommandation de Cisco est une connexion directe par câble. ECMP peut être réalisable, mais il est essentiel de faire par destination (l'AFAIK par défaut de Cisco) et non par paquet. Considérez l'impact sur un transfert ftp passif qui nécessite des connexions sortantes doubles.

Dennis Olvany
la source