Назад | Перейти на главную страницу

Дилемма маршрутизации в устойчивой инфраструктуре веб-приложений с несколькими местоположениями

Если нам нужна помощь в понимании / решении проблемы маршрутизации, с которой мы столкнулись - вот сценарий / предположения:

Межсетевые экраны - это Cisco ASA, веб-серверы W2003.

Проблема, с которой я столкнулся, заключается в том, что трафик для веб-приложения, полученный на веб-сервере A, мог быть получен через брандмауэр B, но с шлюзом по умолчанию, установленным на брандмауэр A, я понимаю, что, говоря простым языком, ответ никогда не вернется в те обстоятельства.

Если это понимание верно, какие методы маршрутизации можно использовать, чтобы гарантировать, что трафик возвращается через дверь, через которую он прошел?

Исходный NAT, к сожалению, самый простой вариант. В этом случае ASA преобразует входящие соединения, чтобы они выглядели так, как если бы они исходили из его локального интерфейса. Веб-сервер ответит на этот локальный трафик. Это даст вам полную симметрию на обратных маршрутах. Если вы отслеживаете трафик в журнале на веб-сервере, вам необходимо указать что-то другое, кроме IP-адреса источника - или, возможно, сопоставить журналы брандмауэра с веб-журналами. Это несколько болезненно, но будет (и масштабируется).

В зависимости от того, какой ASA у вас есть, вы также можете запустить их как пару актив-актив. В этом сценарии они будут разделять состояние и позаботятся о любой асимметрии. Для этого потребуется канал L2 между межсетевыми экранами и, если два сайта имеют разные пространства DMZ, наличие одного и того же внешнего сегмента на обоих межсетевых экранах. В зависимости от того, как у вас настроена маршрутизация, это может быть довольно сложно, а также может выходить за рамки официальной поддержки. Если вы сможете заставить это решение работать, оно будет работать для двух сайтов.