Dua Cisco ASA 5525-X sebagai Gateway Internet tanpa Layer 2

Tambahkan alasan lain untuk membenci NAT ke daftar. Saya membawa dua titik keluar Internet di jaringan perusahaan kami. Perangkat tepi akan menjadi firewall ASA 5525-X. Secara tradisional Anda akan menempatkan ini ke dalam semacam cluster, tetapi ini membutuhkan konektivitas L2. Karena perangkat ini akan berada di bagian terpisah dari jaringan saya, konektivitas L2 bukanlah pilihan yang mudah.

Solusi saya saat ini adalah untuk menjadikan keduanya sebagai firewall independen dan mengiklankan rute default dari masing-masing. Setiap ECMP harus memiliki hash yang sama untuk setiap aliran dan mendorongnya ke arah firewall jalan keluar yang "benar".

Pertanyaan saya adalah ini:

1. Apakah ada cara untuk mengelompokkan dua ASA tanpa perlu tautan L2?
2. Saya ingin sepasang mata / ketiga / seratus pada solusi saya saat ini dengan asumsi "Tidak" adalah jawaban untuk # 1.

Saya pikir Anda memiliki dua opsi:

1. Tunjuk satu sirkuit Internet sebagai yang utama dan yang lainnya sebagai failover
2. Laksanakan perutean "NAT outside" (ruang publik) antara situs dengan firewall

Opsi pertama memastikan lalu lintas selalu melalui salah satu firewall atau yang lain sehingga NAT tidak rusak.

Opsi kedua memungkinkan Anda memuat keseimbangan di kedua sirkuit: Satu rute default dengan biaya yang sama dari setiap sirkuit, dengan awalan publik lokal Anda diiklankan di kedua sirkuit. (Opsi ini mengabaikan bagaimana konektivitas antar situs dilakukan.)

Tidak memiliki banyak pengalaman dengan ASA, jadi saya tidak bisa menjawab pertanyaan # 1.

Berhati-hatilah dengan asumsi Anda tentang ECMP. Peralatan yang berbeda menangani ECMP secara berbeda. Saya telah melihat implementasi ECMP dari granularity dari load-balancing "per-destination-prefix" (yang hampir tidak sama sekali dengan ECMP), hingga load-balancing "per-paket".

Anda harus menjadi sedikit lebih canggih dengan penanganan rute Anda untuk membuat ini bekerja. Cari informasi interkoneksi DCI yang telah diterbitkan ioshints, yang akan membantu Anda mengetahui bagaimana Anda dapat merancang jaringan Anda untuk menangani hal ini. Maaf, saya tidak memiliki URL yang dekat dengan ini.

Secara pribadi, saya bahkan tidak akan mempertimbangkan pengelompokan jarak jauh. Saya percaya rekomendasi Cisco adalah koneksi kabel langsung. ECMP mungkin bisa diterapkan, tetapi sangat penting untuk melakukan per-tujuan (standar Cisco AFAIK) dan tidak per-paket. Pertimbangkan dampak pada transfer ftp pasif yang membutuhkan koneksi keluar ganda.