Hai Cisco ASA 5525-X là Cổng Internet không có Lớp 2

Thêm một lý do khác để ghét NAT vào danh sách. Tôi đang đưa ra hai điểm đầu ra Internet trong mạng công ty của chúng tôi. Các thiết bị cạnh sẽ là tường lửa ASA 5525-X. Theo truyền thống, bạn sẽ đặt chúng vào một số loại cụm, nhưng điều này đòi hỏi kết nối L2. Vì các thiết bị này sẽ nằm trong các phần riêng biệt trong mạng của tôi, kết nối L2 không phải là một lựa chọn dễ dàng.

Giải pháp chạy hiện tại của tôi là đưa cả hai lên thành tường lửa độc lập và quảng cáo một tuyến mặc định từ mỗi tuyến. Bất kỳ ECMP nào cũng phải có cùng hàm băm cho mỗi luồng và đẩy nó về phía tường lửa đi ra "chính xác".

Câu hỏi của tôi là:

1. Có cách nào để phân cụm hai ASA mà không cần liên kết L2 không?
2. Tôi muốn có một cặp mắt thứ hai / thứ ba / trăm cho giải pháp hiện tại của tôi với giả định "Không" là câu trả lời cho # 1.

Tôi nghĩ bạn có hai lựa chọn:

1. Chỉ định một mạch Internet là chính và một mạch khác là chuyển đổi dự phòng
2. Thực hiện định tuyến "NAT bên ngoài" (không gian công cộng) giữa các trang web với tường lửa

Tùy chọn đầu tiên đảm bảo lưu lượng luôn đi qua một tường lửa hoặc cái kia để NAT không bị vỡ.

Tùy chọn thứ hai cho phép bạn tải cân bằng trên cả hai mạch: Một tuyến mặc định có chi phí bằng nhau từ mỗi mạch, với (các) tiền tố công khai cục bộ của bạn được quảng cáo ra cả hai mạch. (Tùy chọn này bỏ qua cách kết nối giữa các trang web được thực hiện.)

Không có nhiều kinh nghiệm với ASA, vì vậy tôi thực sự không thể trả lời câu hỏi số 1.

Tuy nhiên, hãy cẩn thận với các giả định của bạn về ECMP. Thiết bị khác nhau xử lý ECMP khác nhau. Tôi đã thấy các triển khai ECMP từ mức độ chi tiết của cân bằng tải "trên mỗi đích đến" (gần như không phải là ECMP), đến cân bằng tải "trên mỗi gói".

Bạn sẽ phải tinh vi hơn một chút với việc xử lý định tuyến của mình để thực hiện công việc này. Hãy tìm thông tin kết nối DCI mà ioshint đã công bố, điều đó sẽ giúp bạn tìm ra cách bạn có thể thiết kế mạng của mình để xử lý việc này. Xin lỗi tôi không có một URL gần với điều này.

Cá nhân, tôi thậm chí sẽ không xem xét phân cụm đường dài. Tôi tin rằng khuyến nghị của Cisco là kết nối cáp trực tiếp. ECMP có thể hoạt động được, nhưng điều quan trọng là phải thực hiện theo từng điểm đến (AFAIK mặc định của Cisco) và không phải cho mỗi gói. Xem xét tác động đối với chuyển ftp thụ động yêu cầu kết nối ra ngoài kép.