레이어 2가없는 인터넷 게이트웨이 인 Cisco ASA 5525-X 2 개

NAT를 목록에 싫어하는 다른 이유를 추가하십시오. 회사 네트워크에 두 개의 인터넷 송신 지점을 가지고 있습니다. 에지 장치는 ASA 5525-X 방화벽입니다. 전통적으로 이러한 클러스터를 일종의 클러스터에 넣었지만 L2 연결이 필요합니다. 이러한 장치는 네트워크의 개별 부분에 있으므로 L2 연결은 쉬운 옵션이 아닙니다.

현재 실행중인 솔루션은 방화벽을 독립 방화벽으로 가져오고 각각의 기본 경로를 알리는 것입니다. 모든 ECMP 는 각 흐름에 대해 동일한 해시를 가져야하며 "올바른"발신 방화벽으로 푸시해야합니다.

내 질문은 이것입니다 :

1. L2 링크없이 두 개의 ASA를 클러스터링 할 수있는 방법이 있습니까?
2. "아니오"가 # 1에 대한 답이라고 가정하면 현재 솔루션에 두 번째 / 세 번째 / 수백 쌍의 시선이 필요합니다.

두 가지 옵션이 있다고 생각합니다.

1. 하나의 인터넷 회로를 기본으로 지정하고 다른 하나는 장애 조치로 지정하십시오.
2. 방화벽이있는 사이트간에 "NAT 외부"(공개 공간) 라우팅 구현

첫 번째 옵션은 트래픽이 항상 하나의 방화벽 또는 다른 방화벽을 통과하도록하여 NAT가 중단되지 않도록합니다.

두 번째 옵션을 사용하면 두 회로에 걸쳐로드 밸런싱이 가능합니다. 각 회로에서 하나의 동일한 비용의 기본 경로와 로컬 공용 접두사가 두 회로에 모두 알려집니다. 이 옵션은 사이트 간 연결 방법을 무시합니다.

ASA에 대한 경험이 많지 않으므로 질문 1에 실제로 답할 수 없습니다.

그러나 ECMP에 대한 가정에주의하십시오. 다른 장비는 ECMP를 다르게 처리합니다. ECMP 구현이 "대상별 접두사 별"로드 밸런싱 (거의 ECMP가 아님)의 세분성에서부터 "패킷 당"로드 밸런싱까지 ECMP 구현을 보았습니다.

이 작업을 수행하려면 라우팅 처리를 조금 더 정교하게해야합니다. ioshints가 게시 한 DCI 상호 연결 정보를 찾아서이를 처리하기 위해 네트워크를 설계하는 방법을 파악하십시오. 유감스럽게도 URL을 가지고 있지 않습니다.

개인적으로, 나는 장거리 클러스터링을 고려하지 않을 것입니다. Cisco의 권장 사항은 직접 케이블 연결이라고 생각합니다. ECMP는 가능하지만 패킷 당이 아닌 대상별 (Cisco 기본 AFAIK)을 수행하는 것이 중요합니다. 이중 아웃 바운드 연결이 필요한 수동 ftp 전송에 대한 영향을 고려하십시오.