Dois Cisco ASA 5525-X como gateways da Internet sem camada 2

11

Adicione outro motivo para odiar o NAT na lista. Estou trazendo dois pontos de saída da Internet em nossa rede corporativa. Os dispositivos de borda serão firewalls ASA 5525-X. Tradicionalmente, você os colocava em algum tipo de cluster, mas isso requer conectividade L2. Como esses dispositivos estarão em partes separadas da minha rede, a conectividade L2 não é uma opção fácil.

Minha solução atual é apresentar os dois como firewalls independentes e anunciar uma rota padrão de cada um. Qualquer ECMP deve ter o mesmo hash para cada fluxo e enviá-lo para o firewall de saída "correto".

Minha pergunta é esta:

  1. Existe uma maneira de agrupar dois ASAs sem precisar de um link L2?
  2. Quero um segundo / terceiro / cem par de olhos na minha solução atual, assumindo que "Não" é a resposta para o número 1.
bigmstone
fonte

Respostas:

11

Eu acho que você tem duas opções:

  1. Designar um circuito da Internet como primário e outro como failover
  2. Implemente o roteamento "NAT outside" (espaço público) entre os sites com os firewalls

A primeira opção garante que o tráfego esteja sempre passando por um firewall ou outro para que o NAT não quebre.

A segunda opção permite carregar o equilíbrio entre os dois circuitos: Uma rota padrão de custo igual para cada circuito, com o (s) seu (s) prefixo (s) público (s) local (is) anunciado (s) nos dois circuitos. (Esta opção ignora como a conectividade entre os sites é realizada.)

Jeremy Stretch
fonte
7

Não tenho muita experiência com ASA's, então não consigo responder à pergunta nº 1.

Entretanto, tenha cuidado com suas suposições sobre o ECMP. Equipamentos diferentes lidam com o ECMP de maneira diferente. Vi implementações de ECMP desde a granularidade do balanceamento de carga "por prefixo de destino" (que quase não é ECMP) até o balanceamento de carga "por pacote".

Você precisará ficar um pouco mais sofisticado com o tratamento de roteamento para fazer isso funcionar. Procure as informações de interconexão DCI publicadas pelo ioshints, que devem ajudá-lo a descobrir como você pode projetar sua rede para lidar com isso. Desculpe, não tenho um URL disponível para isso.

Jeff McAdams
fonte
5

Pessoalmente, eu nem consideraria agrupamentos de longa distância. Acredito que a recomendação da Cisco é a conexão direta por cabo. O ECMP pode ser viável, mas é vital realizar por destino (o AFAIK padrão da Cisco) e não por pacote. Considere o impacto em uma transferência ftp passiva que requer conexões de saída duplas.

Dennis Olvany
fonte