Replikasi Firewall

10

Jika saya memiliki dua situs pusat data yang dianggap saling redundan. Apakah mungkin untuk menyinkronkan konfigurasi firewall dari yang utama ke cadangan? Apa cara terbaik untuk menjaga kedua firewall diperbarui secara bersamaan?

Jika demikian, apa yang diperlukan?

Peralatan yang digunakan:

  • DC utama
    • Dua Cisco ASA menjalankan 8.2.5
  • DC jarak jauh
    • Dua Cisco ASA menjalankan 8.6

Tautan antara kedua DC adalah tautan L2 yang menghubungkan kedua inti DC. ASA terhubung ke setiap inti.

cisco-asa redundancy failover pengguna1477
sumber
4
Anda telah menandai ini sebagai "cisco-asa" - apakah Anda menggunakan ASA di pusat data Anda? Jawabannya akan tergantung pada firewall yang Anda gunakan serta versi perangkat lunak dan fitur berlisensi yang menjalankannya. Harap sertakan informasi ini dalam pertanyaan Anda.
John Jensen
3
Seberapa jauh Pusat Data tersebut dipertanyakan? Perlu diingat bahwa Anda harus mencoba menjaga latensi Anda di bawah 10 ms untuk kinerja failover terbaik
Mike Pennington
Apakah ada jawaban yang membantu Anda? jika demikian, Anda harus menerima jawabannya sehingga pertanyaan tidak terus muncul selamanya, mencari jawaban. Atau, Anda bisa memberikan dan menerima jawaban Anda sendiri.
Ron Maupin

Jawaban:

4

Kami memiliki pengaturan yang sama tetapi dengan dua set 8.2 (5) dan kami telah menggunakan skrip in-house untuk mendeteksi perubahan konfigurasi pada pasangan utama, mengubah detail yang diperlukan untuk membuatnya terhubung di DC kedua dan mendorong konfigurasi ke pasangan firewall kedua dan akhirnya reboot.

Ini hanya berfungsi untuk kita karena pasangan FW kedua sepenuhnya pasif sementara kegagalan tidak aktif.

Semua skrip pada dasarnya adalah menarik konfigurasi aktif, menjalankan regex untuk mengganti detail manajemen dengan yang ada di pasangan kedua, sebuah regex untuk menggantikan SNMP, nama host, dll. Setelah selesai, TFTP mengatur konfigurasi untuk pasangan kedua dan memulai reboot. .

David Rothera
sumber
Jika mau, saya dapat mengunggahnya ke github atau sesuatu untuk referensi.
David Rothera
Solusi skrip mungkin adalah yang terbaik yang dapat Anda lakukan untuk menjaga empat firewall dalam beberapa tahap sinkronisasi konfigurasi ... meskipun ini secara arsitektur terbatas pada skenario DC aktif / siaga
Mike Pennington
Itu akan luar biasa! Atau email [email protected]
user1477
Bisakah saya bertanya mengapa FW Anda reboot setelah perubahan konfigurasi? Mengapa tidak memindahkannya ke menjalankan pekerjaan konfigurasi?
bigmstone
Kami selalu melakukannya karena beberapa perubahan tidak dapat dengan mudah dilakukan ketika hanya menulis running-config.
David Rothera