我们正在尝试在只为我们提供一个网络接口的托管商处设置故障转移 ASA 配置。鉴于只有一个网络接口,我们无法完全消除所有单点故障,我们希望仍然能够使用我们最初设想的故障转移 ASA 配置。
我们在托管中心没有路由器,因为我们希望使用 3750 交换机基础设施为我们进行路由。
colo 提供的网络看起来像这样(显然这些不是公共路由 IP,但这是一个示例):
- 客户 IP:10.100.200.202/30
- 提供商路由器:10.100.200.201/30
- 客户路由块:192.168.200.0/27
除此之外,我们还有一个点指向我们的主要站点,它提供第 2 层连接。
在我们最初的设计中,我们设想 3750 将成为我们所有设备的路由器,也就是说,托管中心的所有设备都将使用 Cisco 3750 作为其默认网关。3750 将决定流量是内部流量(即本地交换)、点对点流量(即交换回主办公室)还是外部流量(路由出去)。
我们遇到的问题是,我们希望所有外部路由的数据包都通过防火墙进行过滤。这些数据包离开防火墙后,将通过 OB 连接路由出去,然后通过 OB 连接将它们发送回 3750(通过不同的 VLAN),然后通过 colo 连接出去。
这样的配置允许我们在每个 ASA 上配置 2 个路由 IP(192.168.200.1 和 192.168.200.2)用于故障转移。在充当我们边缘路由器的范围内,3750 将拥有由我们的托管提供的客户 IP(10.100.200.202),并且也将代表我们的单点故障。
当我们开始绘制流量路径决策树时,我们遇到的问题是,我们基本上需要 3750 有 2 个默认路由,一个用于从内部网络传入的流量 - 到防火墙的默认路由 - 另一个用于从 ASA 传入的流量 - 默认路由出 colo 提供商连接。
有没有办法使用公共路由 IP 实现故障转移 ASA,使用单个 Cisco 3750 作为 ASA 的唯一路径?我知道我可以用路由器(它将成为我的 SPOF)完成所有工作,但我手边没有路由器,而且我不太想买一个。
答案1
我一直在写一个(非常)长的答案,但我突然意识到它会吞噬路由网络中分配的整个子网。
我可以问一下你为什么不这样做吗?:
Colo <----> ASA <----> 3750 <--(L2 link)--> Office
即使由于光纤转换而必须通过 3750 连接 ASA - 也没关系。这是一个线速交换机,延迟几乎不可能被注意到。
编辑:为什么您要将 3750 用作路由器?您只有一个网络。