Replicação de Firewall

10

Se eu tiver dois sites de datacenter considerados redundantes entre si. É possível sincronizar a configuração do firewall do primário para o backup? Qual é a melhor maneira de manter os dois firewalls atualizados ao mesmo tempo?

Se sim, o que é necessário?

Equipamento usado:

  • DC principal
    • Dois Cisco ASA's executando 8.2.5
  • DC Remoto
    • Dois Cisco ASA's executando 8.6

O link entre os dois DCs é um link L2 que conecta os dois núcleos DC. O ASA se conecta a cada núcleo.

cisco-asa redundancy failover user1477
fonte
4
Você marcou isso como "cisco-asa" - você está usando ASAs em seus datacenters? A resposta dependerá de quais firewalls você está usando, bem como da versão do software e dos recursos licenciados em execução neles. Inclua esta informação na sua pergunta.
John Jensen
3
A que distância estão os Data Centers em questão? Tenha em mente que você deve tentar manter sua latência sob 10ms para o melhor desempenho de failover
Mike Pennington
Alguma resposta o ajudou? Nesse caso, você deve aceitar a resposta para que a pergunta não apareça para sempre, procurando uma resposta. Como alternativa, você pode fornecer e aceitar sua própria resposta.
Ron Maupin

Respostas:

4

Temos uma configuração semelhante, mas com dois conjuntos de 8.2 (5) e usamos um script interno para detectar alterações de configuração no par primário, alterar os detalhes necessários para torná-lo conectável no segundo controlador de domínio e enviar a configuração para o segundo par de firewall e finalmente reinicie.

Isso só funciona para nós porque o segundo par de FW é completamente passivo enquanto um failover não está ativo.

Tudo o que o script basicamente faz é puxar a configuração ativa, executar um regex para substituir os detalhes de gerenciamento pelos do segundo par, um regex para substituir o SNMP, o nome do host etc. .

David Rothera
fonte
Se você quiser, posso enviá-lo ao github ou algo para referência.
precisa
Soluções de script são, provavelmente, o melhor que você pode fazer para manter quatro firewalls em alguma fase áspera de sincronia configuração ... embora este é arquitetonicamente limitado a um cenário / standby DC ativa
Mike Pennington
Isso seria bom! Ou e-mail [email protected]
user1477
Posso perguntar por que você reinicia os FWs após as alterações na configuração? Por que não movê-lo para executar o trabalho de configuração?
bigmstone
Sempre fizemos isso, pois algumas das alterações não podem ser facilmente realizadas quando apenas sobrescrevemos a running-config.
precisa