Назад | Перейти на главную страницу

Будет ли трафик проходить через резервный брандмауэр, если интерфейс активного брандмауэра к шлюзу выйдет из строя?

Вот сценарий. У меня два ASA 5510 в активном / резервном режиме. У каждого из них есть один восходящий канал к одному из двух маршрутизаторов (HSRP1 и HSRP2), настроенных в HSRP. Произошла авария, и интерфейс между Active ASA 5510 и HSRP1 вышел из строя.

Будет ли трафик проходить через резервный брандмауэр, если интерфейс активного брандмауэра к шлюзу выйдет из строя?

ОБНОВЛЕНИЕ: показанная выше топология не будет работать правильно. У вас ДОЛЖЕН быть широковещательный домен (VLAN или выделенный коммутатор), совместно используемый HSRP1, HSRP2 и обоими брандмауэрами, чтобы он работал правильно. В противном случае вы получите асимметричную маршрутизацию и другие странности, потому что маршрутизаторы HSRP не могут правильно передавать пакеты приветствия. Сделайте себе одолжение и используйте VLAN или выделенный коммутатор между межсетевыми экранами и маршрутизаторами.

Тот же ответ, что и 20 минут назад: используйте параметры ASA "Track" и "Ip SLA". посмотрите на них, чтобы отслеживать маршрут от asa к HSRP, и добавьте к нему SLA для переключения сетевого маршрута.

У вас должен быть широковещательный домен (читай: коммутатор) между маршрутизаторами HSRP и ASA, иначе пакеты приветствия HSRP не будут иметь возможности проходить между маршрутизаторами.

Я был вознагражден проблемами с маршрутизацией, когда подключал маршрутизаторы HSRP напрямую к межсетевым экранам. Не повторяйте мою ошибку :)

Для работы должен быть домен широковещания, совместно используемый брандмауэрами и обоими маршрутизаторами HSRP. Я использовал VLAN, выделенную для внешнего трафика на коммутаторах, которые номинально находятся за этими межсетевыми экранами. Я пометил достаточно портов коммутатора в этой VLAN для каждого маршрутизатора HSRP и каждого внешнего интерфейса межсетевого экрана.

Я не использовал отслеживание на ASA. HSRP автоматически и без проблем переключается на меня, если я отключаю одно из этих подключений. Я обнаружил, что переключение в активный / резервный режим при отказе происходит гораздо менее гладко, поскольку соединения фактически прерываются.