Dwa Cisco ASA 5525-X jako bramy internetowe bez warstwy 2

Dodaj kolejny powód do nienawiści NAT do listy. Przywołuję dwa punkty wyjścia z Internetu w naszej sieci korporacyjnej. Urządzeniami brzegowymi będą zapory ogniowe ASA 5525-X. Tradycyjnie umieszczasz je w jakimś klastrze, ale wymaga to łączności L2. Ponieważ te urządzenia będą znajdować się w oddzielnych częściach mojej sieci, łączność L2 nie jest łatwą opcją.

Moje bieżące rozwiązanie polega na tym, aby stworzyć je jako niezależne zapory ogniowe i reklamować domyślną trasę z każdego z nich. Każdy ECMP powinien mieć ten sam skrót dla każdego przepływu i popchnąć go w kierunku „poprawnej” zapory wyjściowej.

Moje pytanie brzmi:

1. Czy istnieje sposób na zgrupowanie dwóch ASA bez potrzeby łącza L2?
2. Chcę drugiej / trzeciej / setki oczu na moje obecne rozwiązanie, zakładając, że „Nie” jest odpowiedzią na nr 1.

Myślę, że masz dwie opcje:

1. Wskaż jeden obwód internetowy jako główny, a drugi jako tryb failover
2. Zaimplementuj routing „NAT poza” (przestrzeń publiczną) między stronami z zaporami ogniowymi

Pierwsza opcja zapewnia, że ​​ruch zawsze przechodzi przez jedną zaporę ogniową lub drugą, aby NAT nie ulegał awarii.

Druga opcja pozwala załadować równowagę między oboma obwodami: Jedna domyślna trasa o równych kosztach z każdego obwodu, z lokalnymi publicznymi prefiksami ogłoszonymi w obu obwodach. (Ta opcja ignoruje sposób osiągnięcia połączenia między stronami).

Nie mam dużego doświadczenia z ASA, więc nie mogę tak naprawdę odpowiedzieć na pytanie nr 1.

Uważaj jednak na swoje założenia dotyczące ECMP. Różne urządzenia traktują ECMP inaczej. Widziałem implementacje ECMP od szczegółowości równoważenia obciążenia „na miejsce przeznaczenia” (która prawie wcale nie jest ECMP), po równoważenie obciążenia „na pakiet”.

Aby to zadziałało, musisz nieco bardziej wyrafinować obsługę routingu. Poszukaj informacji o połączeniach DCI opublikowanych przez ioshints, które powinny pomóc ci dowiedzieć się, jak możesz zaprojektować swoją sieć do obsługi tego problemu. Przepraszam, nie mam pod ręką adresu URL.

Osobiście nie rozważyłbym nawet grupowania na duże odległości. Uważam, że zaleceniem Cisco jest bezpośrednie połączenie kablowe. ECMP może być wykonalny, ale ważne jest, aby wykonać dla miejsca docelowego (domyślny AFAIK Cisco), a nie dla pakietu. Rozważ wpływ pasywnego transferu ftp, który wymaga podwójnych połączeń wychodzących.