Двойной межсетевой экран с отслеживанием состояния маршрутизатора Cisco
В моей компании есть один маршрутизатор Cisco 3925sec / k9, работающий по протоколу BGP с двумя интернет-провайдерами. Теперь мы хотим приобрести резервный маршрутизатор той же модели, чтобы исключить единую точку отказа.
Я могу без проблем настроить BGP между маршрутизаторами и интернет-провайдерами. Мы планируем отправлять весь трафик через ISP A и получать весь трафик через ISP B (интернет-провайдеры отправляют нам только шлюзы по умолчанию, и мы можем поиграть с атрибутами as-prepends и local_pref для этого). 
Итак, мой вопрос: как лучше всего сохранять состояние статического NAT и правил брандмауэра с отслеживанием состояния (не ZBF) на обоих маршрутизаторах одновременно? Опять же, я хочу, чтобы трафик уходил через ISP A и возвращался через ISP B.
Возможно ли это вообще или как вы думаете, было бы лучше приобрести пару ASA серии 5500 с поддержкой Active / Active и выполнять на них NAT и проверку?
Мне любопытно, почему вы хотите целенаправленно использовать такую асимметричную маршрутизацию? Большинство решений для этого будут основаны на использовании отслеживания HSRP, чтобы решить, какой маршрутизатор активно обрабатывает правила NAT / брандмауэра, при условии, что один и тот же маршрутизатор видит как исходящий, так и входящий трафик. Позвольте мне протестировать предлагаемую вами маршрутизацию и посмотреть, действительно ли резервный маршрутизатор будет обслуживать запросы, инициированные активным маршрутизатором.
Между тем, нужные вам функции определенно доступны в IOS. Пара ASA будет больше разработана для того, чтобы делать то, что вы хотите, но в зависимости от того, какой контроль вам нужен над правилами, IOS может соответствовать всем требованиям.
Что-то как это должен работать, чтобы отслеживать ваши состояния NAT. Это от поставщика исследования CCIE, но объяснение довольно хорошо.
Также см. Документацию Cisco для IOS Firewall Stateful Failover. Магическая команда ...
(config-if) ip inspect <cbac-name> {in | out} redundancy stateful <hsrp-name>
Изменить: я проверил это в GNS3, и результаты неоднозначны. Короткий ответ: NAT будет работать нормально. CBAC, однако, не будет.
Вы можете использовать избыточный NAT для совместного использования состояний между обоими маршрутизаторами, позволяя состояниям, созданным на «выходном» маршрутизаторе, создавать равные состояния на «входящем» маршрутизаторе. Эти состояния активны и будут работать нормально.
ip nat Stateful id <unique-router-num>
redundancy <hsrp-name>
mapping-id <mapping-id>
ip nat inside source list <acl> pool <pool> mapping-id <mapping-id> overload
Тем не менее, CBAC будет представлять большую проблему. Вы можете настроить IPC между двумя маршрутизаторами и заставить их разделять состояния.
redundancy inter-device
scheme standby <hsrp-name>
<reboot required>
ipc zone default
association 1 //only 1 is supported
protocol sctp
local-port <port-num>
local-ip <my-ip>
remote-port <port-num>
remote-ip <my-ip>
interface <WAN interface>
ip access-group <acl> in
ip inspect <inspect-name> out redundancy stateful <hsrp-name>
Однако некоторые серьезные проблемы с этим подходом ...
- состояния разделяются между устройствами, но активны только на активном устройстве HSRP
- когда происходит аварийное переключение, старое активное устройство ВЫПОЛНЯЕТ ПЕРЕЗАГРУЗКУ
Так что да, CBAC поддерживает некоторую избыточность, но в вашей ситуации это бесполезно. Уверены, что не умеете заниматься ZBF? Высокая доступность межсетевого экрана на основе политики на основе зон @ Cisco.com
Мне все еще любопытно услышать, зачем вам нужна эта принудительно-асимметричная маршрутизация, поскольку именно она мешает вам использовать CBAC.