向列表添加讨厌NAT的另一个原因。我在公司网络中提出了两个Internet出口点。边缘设备将是ASA 5525-X防火墙。传统上,您会将它们放入某种集群中,但这需要L2连接。由于这些设备将位于我的网络的不同部分,因此L2连接不是一个容易的选择。

我当前正在运行的解决方案是将它们都设置为独立的防火墙,并从每个防火墙通告默认路由。任何ECMP对于每个流都应具有相同的哈希并将其推向“正确的”出口防火墙。

我的问题是:


有办法吗?在不需要L2链路的情况下将两个ASA聚集在一起?
假设#1的答案为“否”,那么我希望在我当前的解决方案中拥有第二只/第三只/第三只眼睛。


/>

#1 楼

我认为您有两种选择:


将一个Internet电路指定为主路由,将另一个Internet路由指定为故障转移
在站点之间实现“ NAT外部”(公共空间)路由防火墙

第一个选项可确保流量始终通过一个防火墙或另一个防火墙,以确保NAT不会中断。

第二个选项可让您在两个防火墙之间实现负载平衡电路:每个电路都有一条等价的默认路由,并在两个电路中发布您的本地公共前缀。 (此选项忽略站点之间的连接是如何实现的。)

#2 楼

没有太多有关ASA的经验,所以我无法真正回答问题#1。但是,请注意您对ECMP的假设。不同的设备对ECMP的处理方式不同。从“每个目标前缀”负载平衡(几乎根本不是ECMP)到“每个数据包”负载平衡的粒度,我已经看到了ECMP实现。

您为了使这项工作有效,您的路由处理将不得不变得更加复杂。查找ioshints已发布的DCI互连信息,这将帮助您弄清楚如何设计网络来处理此问题。抱歉,我没有网址。

#3 楼

就个人而言,我什至不考虑长距离群集。我相信思科的建议是直接电缆连接。 ECMP可能可行,但至关重要的是按目的地(Cisco默认AFAIK)而不是按数据包进行。考虑对需要双重出站连接的被动ftp传输的影响。