Назад | Перейти на главную страницу

2 коммутатора Cisco ASA + 4 коммутатора Cisco - лучший способ объединить все вместе

До сих пор я участвовал в использовании оборудования Cisco в профессиональной среде, но на небольшом уровне. Недавно возникла потребность в строительстве нашего нового предприятия с учетом требований PCI, и, поскольку между серверами проходит довольно много трафика, мы решили вложить немного денег в высокопроизводительное оборудование Cisco (по крайней мере, высокопроизводительное оборудование). с тем, что я использую до сих пор - Cisco 5505 / Cisco 5510s).

У нас есть:

Стойки будет две, в каждой по 1 ASA и 2 коммутатора. Некоторое время я думал о том, как лучше всего соединить все кросс-соединения, и пришел со следующей схемой:

Теперь просьба посоветоваться - я что-то не так думаю об этом дизайне? Можно ли что-нибудь улучшить / изменить, чтобы сделать это лучше?

Хммм. Я думаю, это будет беспорядок связующего дерева ... Если вы реализуете это таким образом, убедитесь, что вы правильно установили приоритеты моста, чтобы ваш трафик проходил так, как вы этого хотите. (другими словами, что правые порты отключены, а правые порты остаются включенными STP) А затем вычислить и тест как сеть закончится, когда связь или устройство разорвутся.

Если вы просто позволите устройствам использовать их настройки по умолчанию, вы можете получить что-то вроде:

Еще одна мысль, о которой я удивлен: почему вы используете LACP между ASA и коммутаторами. Планируете ли вы использовать разные сети VLAN, а затем разрешить межсетевой экран / маршрут ASA между ними? В противном случае через ASA будет проходить только ваш интернет-трафик, который ограничен пропускной способностью интернет-провайдера. Поскольку это только одна ссылка, нет смысла иметь две ссылки на вашу внутреннюю сеть.

При внимательном рассмотрении документации Cisco кажется, что только ASA 5505 не может выполнять связующее дерево. Это означает, что ASA 5550 может. В этом случае вы можете рассмотреть возможность использования ASA в качестве корневого моста, если он может обрабатывать требуемые уровни трафика. Тогда все становится намного проще:

Другой вариант - добавить еще один уровень переключателей. Затем вы получите чистое дерево, если сделаете середину переключает корень и резервный корень:

У вас есть много вариантов, но, поскольку я не знаю ваших точных требований, я не могу сказать, какой из них лучше всего подходит для вас. Надеюсь, я дал вам несколько идей :-)

Обратите внимание, что ASA не поддерживают связующее дерево.

Я не особо с ними играл, я не могу дать точных подробностей, но вы должны убедиться, что он понимает, что группа портов 0 / [12] и группы портов 1 / [12] являются резервными копиями друг для друга.

Вы купили SMARTnet? Я настоятельно рекомендую это сделать. Покрытие SMARTnet позволяет вам задать Cisco именно этот вопрос, и они помогут вам в планировании и настройке ваших устройств.

Учитывая конкретное оборудование, которое вы упомянули, мне нечего добавить, что еще не было упомянуто.

Идея наличия двух каналов EtherChannels, по одному на каждый коммутатор в стойке, на ASA можно немного упростить, используя стекируемые коммутаторы. Я понимаю, что если у вас уже есть оборудование, это спорный вопрос, однако он может упростить будущие реализации с небольшим изменением приобретения оборудования.

Линия Cisco 2960S (последняя обновленная модель в серии Catalyst 2960) поддерживает стек через FlexStack модуль стека - аналогично тому, как 3750 складываются с помощью StackWise [+]. FlexStack и StackWise - это не одно и то же, но с административной точки зрения они дают во многом одинаковые результаты. Для тех, кто не хочет погружаться в коммутаторы шасси, возможности стекирования Cisco на моделях 2960S и 3750 [V2, E, X] предоставляют ряд аналогичных функций.

В этом случае межстековый EtherChannel может значительно упростить работу. С кросс-стековым EtherChannel можно было бы настроить не замужем EtherChannel от одного ASA с одним интерфейсом PHY, идущим к первому коммутатору в стойке, и вторым интерфейсом PHY в EtherChannel, идущим ко второму коммутатору в той же стойке. Кроме того, коммутаторы в стеке (в одной стойке) не нуждаются в конфигурировании каналов EtherChannels между ними, поскольку их взаимодействие обеспечивается через 2960S FlexStack.

Кабели FlexStack могут иметь длину до 3 м - в зависимости от того, насколько близко друг к другу расположены стойки, вы можете объединить все четыре коммутатора в стек.

С несколькими ASA в HA желаемое резервирование может быть достигнуто с небольшим упрощением.

Я поднимаю этот вопрос, потому что у меня есть цели, которые вы перечислили, схожие с ASA в HA, и у меня были 3750X на нескольких сайтах центров обработки данных клиентов.

Это то, что я считаю лучшим вариантом.

Сначала подключите ASA5550 в пару HA. Подключите интерфейс HA1 Inside / DMZ к Switch1. Подключите HA2 Inside / DMZ к Switch 2. Попросите аварийного переключения отслеживать ВСЕ интерфейсы, которые активны. Между первым и вторым коммутатором установите 3 или 4 порта LACP.

Теперь это также предполагает, что ваш провайдер предоставил вам два разных соединения, которые находятся в одном пространстве IP-адресов.

Также вы не сказали, какую версию ASAOS вы используете. Примечания к выпуску 8.4 (1) статистика, которую они действительно представили EtherChannel. Возможно, на них тоже стоит обратить внимание.