Replikacja zapory ogniowej

10

Jeśli mam dwie witryny centrów danych, które są uważane za zbędne. Czy można zsynchronizować konfigurację zapory ogniowej z podstawowej do kopii zapasowej? Jaki jest najlepszy sposób na jednoczesne aktualizowanie obu zapór?

Jeśli tak, co jest wymagane?

Użyte wyposażenie:

  • Główny prąd stały
    • Dwa Cisco ASA z systemem 8.2.5
  • Remote DC
    • Dwa Cisco ASA z systemem 8.6

Łącze między dwoma DC jest połączeniem L2 łączącym oba rdzenie DC. ASA łączy się z każdym rdzeniem.

cisco-asa redundancy failover użytkownik1477
źródło
4
Oznaczono to jako „cisco-asa” - czy korzystasz z ASA w swoich centrach danych? Odpowiedź będzie zależeć od używanych zapór ogniowych, a także od wersji oprogramowania i działających na nich funkcji licencjonowanych. Podaj tę informację w swoim pytaniu.
John Jensen
3
Jak daleko od siebie są rozpatrywane centra danych? Pamiętaj, że powinieneś starać się utrzymać opóźnienie poniżej 10ms, aby uzyskać najlepszą wydajność przełączania awaryjnego
Mike Pennington
Czy jakaś odpowiedź ci pomogła? jeśli tak, powinieneś zaakceptować odpowiedź, aby pytanie nie wyskakiwało wiecznie, szukając odpowiedzi. Alternatywnie możesz podać i zaakceptować własną odpowiedź.
Ron Maupin

Odpowiedzi:

4

Mamy podobną konfigurację, ale z dwoma zestawami 8.2 (5) i użyliśmy wewnętrznego skryptu, aby wykryć zmiany konfiguracji w parze podstawowej, zmienić niezbędne szczegóły, aby umożliwić podłączenie w drugim kontrolerze domeny i przesłać konfigurację do druga para zapory i na końcu uruchom ponownie.

Działa to tylko dla nas, ponieważ druga para FW jest całkowicie pasywna, a przełączanie awaryjne nie jest aktywne.

Wszystko, co w zasadzie robi skrypt, to wyciągnięcie aktywnej konfiguracji, uruchomienie wyrażenia regularnego w celu zastąpienia szczegółów zarządzania szczegółami zarządzania drugą parą, wyrażenia regularnego w celu zastąpienia SNMP, nazwy hosta itp. Po wykonaniu tej czynności TFTP konfiguruje drugą parę i inicjuje ponowne uruchomienie .

David Rothera
źródło
Jeśli chcesz, mogę przesłać go do github lub coś w celach informacyjnych.
David Rothera
Rozwiązania skryptowe są prawdopodobnie najlepszym, co możesz zrobić, aby utrzymać cztery zapory ogniowe w trudnym etapie synchronizacji konfiguracji ... chociaż jest to architektonicznie ograniczone do scenariusza aktywnego / gotowości DC
Mike Pennington,
Byłoby świetnie! Lub napisz [email protected]
user1477
Czy mogę zapytać, dlaczego masz FW restart po zmianie konfiguracji? Dlaczego nie przestawić go na działanie konfiguracji?
bigmstone
Zawsze tak robiliśmy, ponieważ niektórych zmian nie da się łatwo przeprowadzić po prostu nadpisując działającą konfigurację.
David Rothera