Replica del firewall

10

Se ho due siti di datacenter che sono considerati ridondanti l'uno con l'altro. È possibile sincronizzare la configurazione del firewall dal primario al backup? Qual è il modo migliore per mantenere entrambi i firewall aggiornati contemporaneamente?

In tal caso, cosa è richiesto?

Equipaggiamento utilizzato:

  • DC principale
    • Due Cisco ASA in esecuzione 8.2.5
  • DC remoto
    • Due Cisco ASA in esecuzione 8.6

Il collegamento tra i due DC è un collegamento L2 che collega entrambi i core DC. L'ASA si collega a ciascun core.

cisco-asa  redundancy  failover 
user1477
fonte
4
Hai taggato questo come "cisco-asa" - stai usando ASA nei tuoi datacenter? La risposta dipenderà dal tipo di firewall in uso, dalla versione del software e dalle funzionalità con licenza in esecuzione su di essi. Si prega di includere queste informazioni nella domanda.
John Jensen,
3
Mike Pennington,
Qualche risposta ti è stata d'aiuto? in tal caso, dovresti accettare la risposta in modo che la domanda non continui a comparire per sempre, cercando una risposta. In alternativa, potresti fornire e accettare la tua risposta.
Ron Maupin

Risposte:

4

Abbiamo una configurazione simile ma con due set di 8.2 (5) e abbiamo usato uno script interno per rilevare le modifiche alla configurazione della coppia primaria, cambiare i dettagli necessari per renderlo collegabile nel secondo controller e spingere la configurazione nella seconda coppia di firewall e infine riavvio.

Questo funziona solo per noi perché la seconda coppia FW è completamente passiva mentre un failover non è attivo.

Fondamentalmente tutto lo script è tirare la configurazione attiva, eseguire una regex per sostituire i dettagli di gestione con quelli della seconda coppia, una regex per sostituire SNMP, nome host ecc. Una volta fatto, TFTP è la configurazione della seconda coppia e avvia un riavvio .

David Rothera
fonte
Se vuoi, posso caricarlo su Github o altro per riferimento.
David Rothera,
Le soluzioni di script sono probabilmente le migliori che puoi fare per mantenere quattro firewall in una fase approssimativa della sincronizzazione della configurazione ... anche se questo è architettonicamente limitato a uno scenario DC attivo / standby
Mike Pennington,
Sarebbe grandioso! Oppure invia un'e-mail a dannyvanzee@gmail.com
user1477 il
Posso chiederti perché hai riavviato gli FW dopo aver configurato le modifiche? Perché non spostarlo sul funzionamento di configurazione?
bigmstone,
Lo abbiamo sempre fatto in quanto alcune delle modifiche non possono essere facilmente eseguite quando si sovrascrive il running-config.
David Rothera,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.