Мы пытаемся настроить отказоустойчивую конфигурацию ASA в коло, которое предоставляет нам только одно сетевое соединение. Учитывая, что одним отключением сети мы не можем полностью устранить все единичные точки отказа, мы надеялись, что все еще сможем использовать конфигурацию аварийного переключения ASA, которую мы изначально предполагали.
У нас нет маршрутизатора в офисе, поскольку мы надеялись использовать нашу инфраструктуру коммутатора 3750 для выполнения маршрутизации за нас.
Сеть, предоставляемая colo, выглядит примерно так (очевидно, это не публично маршрутизируемые IP-адреса, но это пример):
В дополнение к этому у нас также есть точка, указывающая на наш основной сайт, который обеспечивает подключение уровня 2.
В нашем первоначальном проекте мы предполагали, что 3750 будет маршрутизатором для всех наших устройств, то есть все в colo будет использовать Cisco 3750 в качестве шлюза по умолчанию. 3750 будет решать, был ли трафик внутренним (то есть локально коммутируемым), двухточечным (то есть переключенным обратно в главный офис) или внешним (маршрутизированным).
Проблема, с которой мы столкнулись, заключалась в том, что мы хотели, чтобы все наши пакеты с внешней маршрутизацией отправлялись через брандмауэр с целью фильтрации. Как только эти пакеты покидают межсетевой экран, они будут маршрутизироваться через OB-соединение, которое отправит их обратно в 3750 (через другую VLAN), откуда они были отправлены, а затем через соединение colo.
Такая конфигурация позволила бы нам настроить 2 из наших маршрутизируемых IP-адресов (192.168.200.1 и 192.168.200.2) на каждом из ASA для аварийного переключения. 3750, в той степени, в которой он действует как наш граничный маршрутизатор, будет иметь IP-адрес клиента, предоставленный нашим colo (10.100.200.202), а также будет представлять нашу единую точку отказа.
Проблема, с которой мы столкнулись, когда мы начали рисовать дерево решений пути трафика, заключалась в том, что нам, по сути, нужно было, чтобы 3750 имел 2 маршрута по умолчанию, один для трафика, поступающего из внутренней сети - маршрут по умолчанию к брандмауэру - и один. для трафика, входящего от ASA - маршрут по умолчанию из соединения поставщика colo.
Есть ли способ выполнить аварийное переключение ASA с использованием общедоступных IP-адресов с использованием единственного Cisco 3750 в качестве единственного выхода из ASA? Я знаю, что мог бы сделать все это с помощью маршрутизатора (который стал бы моим SPOF), но у меня нет такого удобного устройства, и я не очень хочу его покупать.
Я писал (очень) длинный ответ, но внезапно понял, что он съест всю вашу выделенную подсеть в сетях маршрутизации.
Могу я спросить, почему вы этого не делаете ?:
Colo <----> ASA <----> 3750 <--(L2 link)--> Office
Даже если вам нужно подключить ASA через 3750 из-за преобразования волокна - это не имеет значения. Это переключатель линейной скорости, задержку заметить практически невозможно.
Изменить: зачем вам 3750 в качестве маршрутизатора? У вас только одна сеть.