我当前正在运行的解决方案是将它们都设置为独立的防火墙,并从每个防火墙通告默认路由。任何ECMP对于每个流都应具有相同的哈希并将其推向“正确的”出口防火墙。
我的问题是:
有办法吗?在不需要L2链路的情况下将两个ASA聚集在一起?
假设#1的答案为“否”,那么我希望在我当前的解决方案中拥有第二只/第三只/第三只眼睛。
/>
#1 楼
我认为您有两种选择:将一个Internet电路指定为主路由,将另一个Internet路由指定为故障转移
在站点之间实现“ NAT外部”(公共空间)路由防火墙
第一个选项可确保流量始终通过一个防火墙或另一个防火墙,以确保NAT不会中断。
第二个选项可让您在两个防火墙之间实现负载平衡电路:每个电路都有一条等价的默认路由,并在两个电路中发布您的本地公共前缀。 (此选项忽略站点之间的连接是如何实现的。)
#2 楼
没有太多有关ASA的经验,所以我无法真正回答问题#1。但是,请注意您对ECMP的假设。不同的设备对ECMP的处理方式不同。从“每个目标前缀”负载平衡(几乎根本不是ECMP)到“每个数据包”负载平衡的粒度,我已经看到了ECMP实现。您为了使这项工作有效,您的路由处理将不得不变得更加复杂。查找ioshints已发布的DCI互连信息,这将帮助您弄清楚如何设计网络来处理此问题。抱歉,我没有网址。