BGP/多宿主

BGP/多宿主

我们目前有一个 ASA5505,并且正在获得第二个 ISP(两个 ISP 都将拥有 20 条上行/下行专用光纤)。

我们需要能够设置 BGP/多宿主,但我发现 ASA 不支持此功能。这是因为它们更像是防火墙(具有 NAT 功能),而不是路由器。

我们需要什么样的硬件来实现此功能?我们需要两个硬件才能配置为故障转移对。

目前,我们的两个 ASA 都具有 Security+ 并且设置为故障转移阵列。

答案1

您有几种选择。一种可能性是将两台廉价 PC 放在 ASA5505 前面。其中一台 PC 将充当您与每个 ISP 的“边界路由器”,并与另一个“边界路由器”和该 ISP 运行 BGP。然后,您将拥有自己的 ISP 网络,这些网络来自边界路由器,您可以将防火墙连接到该网络。

您可以根据自己的喜好在 PC 上使用任何操作系统或平台。OpenBSD、FreeBSD、Linux 或路由器专用发行版在 100Mbps 或更低的速率下都能出色地运行。

答案2

对于您的传出流量,存在非最佳负载共享解决方案。您可以在 ASA 上创建四个静态路由:“一个用于来自一个 ISP 的一半互联网地址,另一个用于来自另一个 ISP 的另一半互联网地址”(引用 iTom)。还有一条到 ISP1 的度量为 1 的默认路由和一条到 ISP2 的度量为 10 的默认路由。

然后,您可以使用 ICMP 回显跟踪这些静态路由(SLA 监控),例如 8.8.8.8(您必须将每个 ISP 连接到不同的接口)。

假设您有前半部分互联网地址和指向 ISP1 的度量 1 默认路由。然后您在连接到 ISP1 的接口上跟踪它们,并 ping 到 8.8.8.8。

其他 2 条路由也一样... 就这样。当您停止从任何 ISP ping 8.8.8.8 时,您的 2 条路由将从路由表中删除,您将开始使用默认路由来覆盖缺失的一半互联网地址。


或者,您可以使用主动/备用解决方案来简化解决方案,这样您只需要两条路由,一条默认路由的度量为 1,另一条默认路由的度量为 10。然后,您只需 ping 8.8.8.8 即可跟踪第一条路由。当 ping 失败时,度量为 1 的默认路由将从路由表中删除,您将开始使用 ISP2。

相关内容