Due Cisco ASA 5525-X come gateway Internet senza livello 2

Aggiungi un altro motivo per odiare NAT all'elenco. Sto richiamando due punti di uscita Internet nella nostra rete aziendale. I dispositivi periferici saranno i firewall ASA 5525-X. Tradizionalmente li inseriresti in una sorta di cluster, ma questo richiede connettività L2. Poiché questi dispositivi saranno in parti separate della mia rete, la connettività L2 non è un'opzione facile.

La mia attuale soluzione corrente è di farli diventare entrambi firewall indipendenti e pubblicizzare un percorso predefinito da ciascuno. Qualsiasi ECMP dovrebbe avere lo stesso hash per ogni flusso e spingerlo verso il firewall di uscita "corretto".

La mia domanda è questa:

1. Esiste un modo per raggruppare due ASA senza bisogno di un collegamento L2?
2. Voglio un secondo / terzo / cento paio di occhi sulla mia soluzione attuale supponendo che "No" sia la risposta al numero 1.

Penso che tu abbia due opzioni:

1. Designare un circuito Internet come primario e l'altro come failover
2. Implementare il routing "NAT outside" (spazio pubblico) tra i siti con i firewall

La prima opzione garantisce che il traffico attraversi sempre un firewall o l'altro in modo che NAT non si interrompa.

La seconda opzione consente di bilanciare il carico su entrambi i circuiti: un percorso predefinito a parità di costo da ciascun circuito, con i prefissi pubblici locali pubblicizzati su entrambi i circuiti. (Questa opzione ignora il modo in cui viene raggiunta la connettività tra i siti.)

Non ho molta esperienza con ASA, quindi non posso davvero rispondere alla domanda n. 1.

Fai attenzione ai tuoi presupposti su ECMP, tuttavia. Diverse apparecchiature gestiscono l'ECMP in modo diverso. Ho visto implementazioni ECMP dalla granularità del bilanciamento del carico "per prefisso di destinazione" (che quasi non è affatto ECMP), al bilanciamento del carico "per pacchetto".

Dovrai diventare un po 'più sofisticato con la gestione del routing per farlo funzionare. Cerca le informazioni di interconnessione DCI che ioshints ha pubblicato, che dovrebbero aiutarti a capire come potresti progettare la tua rete per gestirla. Spiacenti, non ho un URL a portata di mano su questo.

Personalmente, non prenderei nemmeno in considerazione il raggruppamento a lunga distanza. Credo che la raccomandazione di Cisco sia la connessione diretta via cavo. L'ECMP può essere praticabile, ma è fondamentale eseguire la destinazione (AFAIK di default Cisco) e non per pacchetto. Considera l'impatto su un trasferimento ftp passivo che richiede connessioni dual outbound.