В настоящее время у нас есть ASA5505 и мы получаем второго провайдера (у обоих провайдеров будет по 20 выделенных волоконно-оптических линий).
Нам нужно иметь возможность настроить BGP / Multi-homing, но я обнаружил, что ASA не поддерживают это. Это связано с тем, что они являются скорее межсетевыми экранами (с возможностью NAT), чем маршрутизатором.
Какое оборудование нам понадобится для этой функции? Нам потребуется два из них, чтобы их можно было настроить как пару аварийного переключения.
В настоящее время оба наших ASA имеют Security + и настроены как отказоустойчивый массив.
У вас есть несколько вариантов. Один из возможных вариантов - поставить два дешевых ПК перед ASA5505. Один компьютер будет действовать как ваш «пограничный маршрутизатор» для каждого провайдера и запускать BGP как с другим «пограничным маршрутизатором», так и с этим провайдером. Тогда у вас будет собственная сеть Интернет-провайдера, выходящая из пограничных маршрутизаторов, к которой вы можете подключить свои брандмауэры.
Вы можете использовать любую ОС или платформу для ПК, с которыми вам удобно. Все дистрибутивы OpenBSD, FreeBSD, Linux или маршрутизатора исключительно хорошо работают на скорости 100 Мбит / с или меньше.
Для исходящего трафика существует неоптимальное решение с разделением нагрузки. Вы можете создать четыре статических маршрута на своем ASA: «Один для половины интернет-адресов от одного интернет-провайдера, а другой для другой половины интернет-адресов от другого интернет-провайдера» (цитируя iTom). И маршрут по умолчанию с метрикой 1 к ISP1 и другой маршрут по умолчанию с метрикой 10 к ISP2.
Затем вы отслеживаете эти статические маршруты (мониторинг SLA) с помощью эха ICMP, например, до 8.8.8.8 (вам придется подключить каждого провайдера к другому интерфейсу).
Допустим, у вас есть первая половина интернет-адресов и маршрут по умолчанию с метрикой 1, указывающей на ISP1. Затем вы отслеживаете их как на интерфейсе, подключенном к вашему ISP1, так и с этим пингом до 8.8.8.8.
То же самое с двумя другими маршрутами ... и вот. Когда вы прекращаете пинговать 8.8.8.8 от любого из ваших интернет-провайдеров, 2 ваших маршрута будут удалены из таблицы маршрутизации, и вы начнете использовать маршрут по умолчанию для покрытия недостающей половины интернет-адресов.
Или вы можете упростить решение, используя активное / резервное решение, так что вам понадобятся только два маршрута: по умолчанию с метрикой 1 и другой по умолчанию с метрикой 10. Затем вы отслеживаете только первый с пингом до 8.8.8.8. При сбое ping маршрут по умолчанию с метрикой 1 будет удален из таблицы маршрутизации, и вы начнете использовать ISP2.