Два Cisco ASA 5525-X як Інтернет-шлюзи без рівня 2

Додати ще одну причину ненавидіти NAT до списку. Я пропоную два точки виходу з Інтернету у нашій корпоративній мережі. Крайовими пристроями стануть брандмауери ASA 5525-X. Традиційно ви б поклали їх у якийсь кластер, але для цього потрібна зв'язок L2. Оскільки ці пристрої будуть в окремих частинах моєї мережі, підключення до L2 - це не простий варіант.

Моє поточне рішення - створити їх як незалежні брандмауэры, так і рекламувати маршрут за замовчуванням від кожного. Будь-який ECMP повинен мати однаковий хеш для кожного потоку і підштовхувати його до "правильного" брандмауера виходу.

Моє запитання таке:

1. Чи існує спосіб кластеризації двох ASA, не потребуючи посилання L2?
2. Я хочу, щоб другий / третій / сто пар очей на моє поточне рішення, припускаючи, що "Ні" - це відповідь №1.

Я думаю, у вас є два варіанти:

1. Позначте одну ланцюг Інтернету як основну, а іншу як аварійну
2. Здійснюйте маршрутизацію "NAT зовні" (публічний простір) між сайтами між брандмауерами

Перший варіант гарантує, що трафік завжди проходить або через один брандмауер, або через інший, щоб NAT не зламався.

Другий варіант дозволяє завантажувати баланс в обох контурах: один маршрут за замовчуванням за рівнем вартості від кожної схеми, з вашими локальними загальнодоступними префіксами, що рекламуються в обох контурах. (Цей параметр ігнорує, як здійснюється зв’язок між сайтами.)

Не маю великого досвіду роботи з ASA, тому я не можу реально відповісти на питання №1.

Однак будьте обережні зі своїми припущеннями щодо ECMP. Різне обладнання по-різному обробляє ECMP. Я бачив реалізацію ECMP від ​​деталізації балансування навантаження "за призначенням-префікса" (яке майже зовсім не є ECMP), до балансування навантаження на "пакет".

Вам потрібно буде трохи вдосконалити свою роботу з маршрутизацією, щоб зробити цю роботу. Шукайте інформацію про взаємозв'язок DCI, яку опублікував ioshints, яка допоможе вам зрозуміти, як ви могли б спроектувати свою мережу для цього. Вибачте, у мене немає такої URL-адреси.

Особисто я навіть не вважав би кластеризацію на великі відстані. Я вважаю, що рекомендація Cisco - це пряме підключення кабелю. ECMP може бути працездатним, але важливо робити за призначенням (AFAIK за замовчуванням Cisco), а не на пакет. Розглянемо вплив на пасивну передачу ftp, яка потребує подвійних вихідних з'єднань.