Katman 2 olmadan İnternet Ağ Geçidi olarak iki Cisco ASA 5525-X

Listeden NAT nefret etmek için başka bir neden ekleyin. Kurumsal ağımızda iki internet çıkış noktası açıyorum. Edge cihazları ASA 5525-X güvenlik duvarları olacaktır. Geleneksel olarak bunları bir tür kümeye koyarsınız, ancak bu L2 bağlantısı gerektirir. Bu cihazlar ağımın ayrı bölümlerinde olacağından, L2 bağlantısı kolay bir seçenek değildir.

Mevcut çalışan çözümüm, bunları bağımsız güvenlik duvarları olarak getirmek ve her birinden varsayılan bir rota tanıtmaktır. Herhangi bir ECMP her akış için aynı karmaya sahip olmalı ve bunu "doğru" çıkış güvenlik duvarına doğru itmelidir.

Sorum şu:

1. L2 bağlantısına ihtiyaç duymadan iki ASA'yı kümelemenin bir yolu var mı?
2. Şu anki çözümümde "Hayır" ın 1 numaralı cevab olduğunu varsayarak ikinci / üçüncü / yüz çift göz istiyorum.

İki seçeneğiniz olduğunu düşünüyorum:

1. Bir İnternet devresini birincil ve diğerini yük devretme olarak atama
2. Güvenlik duvarları olan siteler arasında "NAT dış" (kamusal alan) yönlendirmesi uygulayın

İlk seçenek, trafiğin her zaman bir güvenlik duvarından veya diğerinden geçmesini sağlar, böylece NAT bozulmaz.

İkinci seçenek, her iki devre arasında denge yüklemenize olanak tanır: Her bir devreden eşit maliyetli bir varsayılan yol, yerel genel önek (ler) in her iki devreyi de tanıtmasıyla. (Bu seçenek siteler arasındaki bağlantının nasıl yapıldığını yoksayar.)

ASA'larla ilgili fazla deneyimim yok, bu yüzden 1. soruya gerçekten cevap veremiyorum.

Ancak, ECMP hakkındaki varsayımlarınıza dikkat edin. Farklı ekipman ECMP'yi farklı şekilde işler. "Hedef başına önek" yük dengeleme (neredeyse hiç ECMP değil), "paket başına" yük dengeleme ayrıntı düzeyinde ECMP uygulamaları gördüm.

Bu işi yapmak için yönlendirme kullanımınızla biraz daha sofistike olmanız gerekir. İoshints'in yayınladığı, ağınızı bununla başa çıkmak için nasıl tasarlayabileceğinizi anlamanıza yardımcı olacak DCI bağlantı bilgilerini arayın. Üzgünüm, buna yakın bir URL'm yok.

Şahsen, uzun mesafeli kümelenmeyi bile düşünmezdim. Cisco'nun tavsiyesinin doğrudan kablo bağlantısı olduğuna inanıyorum. ECMP uygulanabilir olabilir, ancak paket başına değil hedef başına (Cisco varsayılan AFAIK) yapılması hayati önem taşır. Çift giden bağlantı gerektiren pasif bir ftp aktarımı üzerindeki etkisini düşünün.