FailOver in WAN per ASA

Virtual private networks e affini

Moderatore: Federico.Lagni

Rispondi
Rizio
Messianic Network master
Messaggi: 1158
Iscritto il: ven 12 ott , 2007 2:48 pm
Contatta:

Ciao a tutti,
vi risulta che sia possibile effettuare una configurazione di 2 ASA in failover attraverso un link WAN?

Mi hanno presentato un progetto struttrato cosi e non sò se è possibile per un ASA.

Grazie
Rizio
Si vis pacem para bellum
paolomat75
Messianic Network master
Messaggi: 2965
Iscritto il: ven 29 gen , 2010 10:25 am
Località: Prov di GE

Mi sembra di si dalle slide che avevo visto.

Paolo
Non cade foglia che l'inconscio non voglia (S.B.)
Rizio
Messianic Network master
Messaggi: 1158
Iscritto il: ven 12 ott , 2007 2:48 pm
Contatta:

Hummm..... failover active/active?! Dici che sia possibile?
Perchè io per ora non sono ancora riuscito a trovare nulla di "ufficiale" (ho dovuto sospendere le ricerche per problemi esterni però appena riesco riprendo).

Rizio
Si vis pacem para bellum
paolomat75
Messianic Network master
Messaggi: 2965
Iscritto il: ven 29 gen , 2010 10:25 am
Località: Prov di GE

Rizio ha scritto:Hummm..... failover active/active?! Dici che sia possibile?
Perchè io per ora non sono ancora riuscito a trovare nulla di "ufficiale" (ho dovuto sospendere le ricerche per problemi esterni però appena riesco riprendo).

Rizio
Spiegati meglio?
Se ho vuoi ti mando un video che ne parla (io non ho mai usato gli ASA perciò ho solo notizie didattiche).

Ciao
Paolo
Non cade foglia che l'inconscio non voglia (S.B.)
Rizio
Messianic Network master
Messaggi: 1158
Iscritto il: ven 12 ott , 2007 2:48 pm
Contatta:

Un consulente ci ha fatto un progetto per un accesso VPN ridondato mettendo 2 asa in HA in due sedi fisicamente collegate con una WAN (Frame-relay a 1Mb)
Leggendo la documentazione di cisco mi sembra di avere capoito che le licenze per gli accessi anyconnect possono essere "uniche" per i due asa solo se sono in modalità active/active. Se sono in modalità active/passive ogni asa deve avere il suo pacchetto di licenze.
Il problema nasce da lì. Se tra i due asa c'è un link a bassa velocità e alta latenza come fanno ad essere in active/active (perciò scambiarsi continuamente informazioni sulle sessioni di uno e dell'altro)?
Perchè se questo (come penso) non è vero devo contare altre 25 licenze di anyconnect oltre a non poter avere un accesso VPN ridondato completamente.

Inoltre, in caso di failover active/passive possono essere l'uno il backup dell'altro secondo te? Nel senso che entrambe sono attivi per la sede e gli ip primari che hanno e diventano backup dell'altro in caso di fault oppure uno dei due deve rimanere davvero "passive" e non può essere utilizzato fino al fault del primo?

Rizio
Si vis pacem para bellum
paolomat75
Messianic Network master
Messaggi: 2965
Iscritto il: ven 29 gen , 2010 10:25 am
Località: Prov di GE

Rizio ha scritto:Un consulente ci ha fatto un progetto per un accesso VPN ridondato mettendo 2 asa in HA in due sedi fisicamente collegate con una WAN (Frame-relay a 1Mb)
Leggendo la documentazione di cisco mi sembra di avere capoito che le licenze per gli accessi anyconnect possono essere "uniche" per i due asa solo se sono in modalità active/active. Se sono in modalità active/passive ogni asa deve avere il suo pacchetto di licenze.
Il problema nasce da lì. Se tra i due asa c'è un link a bassa velocità e alta latenza come fanno ad essere in active/active (perciò scambiarsi continuamente informazioni sulle sessioni di uno e dell'altro)?
Perchè se questo (come penso) non è vero devo contare altre 25 licenze di anyconnect oltre a non poter avere un accesso VPN ridondato completamente.

Inoltre, in caso di failover active/passive possono essere l'uno il backup dell'altro secondo te? Nel senso che entrambe sono attivi per la sede e gli ip primari che hanno e diventano backup dell'altro in caso di fault oppure uno dei due deve rimanere davvero "passive" e non può essere utilizzato fino al fault del primo?

Rizio
Mandami in privato la tua e-mail. Appena posso ti mando i video corso su ASA che ho (a casa ora sono senza ADSL per problemi di Infostrada ha preso la linea anche se avevono ricevuto da 20 giorni la disdetta :-( ).

Paolo
Non cade foglia che l'inconscio non voglia (S.B.)
Rizio
Messianic Network master
Messaggi: 1158
Iscritto il: ven 12 ott , 2007 2:48 pm
Contatta:

paolomat75 ha scritto:Mandami in privato la tua e-mail.
Si
paolomat75 ha scritto:Appena posso ti mando i video corso su ASA che ho
Ok, grazie mille, sei gentilissimo.
paolomat75 ha scritto:(a casa ora sono senza ADSL per problemi di Infostrada ha preso la linea anche se avevono ricevuto da 20 giorni la disdetta :-( ).
Azz!!! Mi spiace per te :( Sono quelle rotture enormi, spero ti si risolva in fretta.

Rizio
Si vis pacem para bellum
Rispondi