Ciao a tutti
un cliente ha due sedi separate geograficamente, in entrambe c'è un asa 5505, un router adsl e un router hdsl.
Sulla porta esterna degli asa è collegato il router adsl e tramite questo collegamento ho attivato una vpn site-to-site gestita dai firewall.
I router hdsl hanno indirizzo facente parte delle rispettive reti lan interne, quindi sono collegati alla porta interna dell'asa. Qui la vpn e configurata sugli apparati hdsl, non sugli asa.
Le perplessità sono:
principalmente vorrei che il traffico vpn passasse dall'hdsl e contemporaneamente tutto il resto dall'adsl.
In seconda battura vorrei sapere se è possibile far si che in caso di caduta della vpn su hdsl entri in funzione quella su adsl e in caso contrario, quindi se va giù l'adsl, tutto il traffico passi per l'hdsl.
Per concludere in bellezza sugli asa ho la licenza standard e non quella sec ma avendo il router hdsl sulla porta interna del firewall potrebbe non essere un problema, o no ?
Questa è la situazione, qualche buon sammaritano può indicarmi la via se c'é, o almeno dirmi se non si può fare.
Grazie e a tutti e buone sudate visti i 33 gradi di oggi.
Asa 5505 - suddividere traffico tra hdsl e adsl e ridondare
Moderatore: Federico.Lagni
-
ketVet
- Cisco power user
- Messaggi: 90
- Iscritto il: gio 14 lug , 2005 6:59 pm
Aggiorna gli ASA con la licenza security, poi segui questa linea guida http://www.cisco.com/en/US/products/hw/ ... 880b.shtml
Oppure fau gesti il routing dai router hdsl, sperando siano Cisco
Oppure fau gesti il routing dai router hdsl, sperando siano Cisco
-
risk
- Cisco fan
- Messaggi: 37
- Iscritto il: lun 09 feb , 2009 9:59 am
Grazie KetVet, apprezzo molto l'interessamento.
Se imposto le route sugli asa nel seguente modo secondo te può funzionare ?
route inside "Lan dell'altra sede (B)" "ip router hdsl" "metrica 1"
route outside 0.0.0.0 0.0.0.0 "ip router adsl" "metrica 2"
Faccio un esempio con degli IP
Lan sede A - 192.168.1.0/24
Router Hdsl sede A - 192.168.1.10
router adsl sede A - 88.88.88.88
interfaccia interna Asa sede A - 192.168.1.254/24
interfaccia out Asa sede A - 88.88.88.89
Lan sede B - 192.168.2.0/24
Le route sull'asa della sede A diventano così:
route inside 192.168.2.0 255.255.255.0 192.168.1.10 1
route outside 0.0.0.0 0.0.0.0 88.88.88.88 2
In questo modo, dalla sede A, se qualcuno vuole andare su un pc o server della rete B verrà reindirizzato dall'asa, tramite la sua interfaccia interna, sul router hdsl che via VPN lo manda dall'altra parte.
Il traffico non destinato alla Lan della sede B, sfruttando la route con metrica 2, dovrebbe andare tramite la porta out dell'asa verso il router adsl e quindi in internet.
Già sapere se questo sugli asa si può fare sarebbe una gran cosa.
Se imposto le route sugli asa nel seguente modo secondo te può funzionare ?
route inside "Lan dell'altra sede (B)" "ip router hdsl" "metrica 1"
route outside 0.0.0.0 0.0.0.0 "ip router adsl" "metrica 2"
Faccio un esempio con degli IP
Lan sede A - 192.168.1.0/24
Router Hdsl sede A - 192.168.1.10
router adsl sede A - 88.88.88.88
interfaccia interna Asa sede A - 192.168.1.254/24
interfaccia out Asa sede A - 88.88.88.89
Lan sede B - 192.168.2.0/24
Le route sull'asa della sede A diventano così:
route inside 192.168.2.0 255.255.255.0 192.168.1.10 1
route outside 0.0.0.0 0.0.0.0 88.88.88.88 2
In questo modo, dalla sede A, se qualcuno vuole andare su un pc o server della rete B verrà reindirizzato dall'asa, tramite la sua interfaccia interna, sul router hdsl che via VPN lo manda dall'altra parte.
Il traffico non destinato alla Lan della sede B, sfruttando la route con metrica 2, dovrebbe andare tramite la porta out dell'asa verso il router adsl e quindi in internet.
Già sapere se questo sugli asa si può fare sarebbe una gran cosa.
-
risk
- Cisco fan
- Messaggi: 37
- Iscritto il: lun 09 feb , 2009 9:59 am
aggiornamento
forse la configurazione tramite le route degli asa si può anche fare però a me non ha funzionato. La stessa cosa in passato l'avevo fatta su dei pix 501 e con esito positivo ... mah. Ci sarà sicuramente qualcosa che non ho considerato nel modo giusto.
Se al posto degli asa 5505 usassi dei pix506 potrei in qualche modo gestire una configurazione tipo quella del link che riporto di seguito ?
http://www.cisco.com/en/US/products/hw/ ... 880b.shtml
naturalmente avendo il pix506 solo la lan int e quella out non so proprio come possa ma le vie dei cisco sono infinite, o quasi.
forse la configurazione tramite le route degli asa si può anche fare però a me non ha funzionato. La stessa cosa in passato l'avevo fatta su dei pix 501 e con esito positivo ... mah. Ci sarà sicuramente qualcosa che non ho considerato nel modo giusto.
Se al posto degli asa 5505 usassi dei pix506 potrei in qualche modo gestire una configurazione tipo quella del link che riporto di seguito ?
http://www.cisco.com/en/US/products/hw/ ... 880b.shtml
naturalmente avendo il pix506 solo la lan int e quella out non so proprio come possa ma le vie dei cisco sono infinite, o quasi.
-
Wizard
- Intergalactic subspace network admin
- Messaggi: 3441
- Iscritto il: ven 03 feb , 2006 10:04 am
- Località: Emilia Romagna
- Contatta:
Ora i firewall fisici Cisco gestiscono le route-map quindi puoi fare source e policy routing
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
-
risk
- Cisco fan
- Messaggi: 37
- Iscritto il: lun 09 feb , 2009 9:59 am
Ciao Wizard
Grazie mille per la preziosa informazione.
Ho provato a dare un'occhiata veloce al sito cisco ma non ho trovato link semplici e/o particolarmente intuitivi da poter postare sul forum per dare a tutti qualche esempio.
Se ti capita di trovarne ne metti qualcuno ?
Grazie mille per la preziosa informazione.
Ho provato a dare un'occhiata veloce al sito cisco ma non ho trovato link semplici e/o particolarmente intuitivi da poter postare sul forum per dare a tutti qualche esempio.
Se ti capita di trovarne ne metti qualcuno ?
-
Wizard
- Intergalactic subspace network admin
- Messaggi: 3441
- Iscritto il: ven 03 feb , 2006 10:04 am
- Località: Emilia Romagna
- Contatta:
Se sai fare una route-map su un router farla sul fw è uguale
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
