Dubbio su distribuzione di più ASA

Rizio · gio 15 set , 2011 9:06 am

Adesso ho 2 provider in azienda che fanno capo ognuno al proprio 2811 con il proprio ASA 5510 davanti che mi filtra la LAN.
Su ogni ASA ho programmato una DMZ che però è realmente utilizzata solo su uno dei 2 provider.
Fatte queste premesse pensavo se potesse valere la pena liberarmi un ASA e gestire tutto con un solo ASA (no, non ho la licenza per il failover

).
Visto che il 5510 ha 4 porte pensavo di fare 2 OUTSIDE, 1 DMZ (solo su un provider) e una INSIDE. Vedete contro indicazioni in questo?
Il dubbi omaggiore che ho io riguarda le capacità di routing dell'ASA, cioè ora ho 2 IP in LAN, uno per ogni provider, a cui posso fare riferimento in base a dove voglio che un determinato pacchetto transiti, dopo avrei un solo IP a dovrei far fare "routing" all'asa.....

Mi date il vostro parere?
Grazie
Rizio

blublublu · gio 15 set , 2011 11:37 am

non so se ne valga la pena ma potresti fare operere un unico firewall in multi-context, in pratica avresti 2 firewall virtuali indipendenti. L'interfaccia interna andrebbe condivisa tra i 2 context ed ognuno avrebbe un IP diverso. La scelta dell'instradamento la faresti prima del firewall, così come eventuali ip sla monitor

Rizio · gio 15 set , 2011 2:49 pm

hummm..... non conoscevo quella features...... perchè dici che non sai se ne valga la pena? Per il fatto che è molto complicato da gestire o solo per il fatto che ne ho già due configurati?

Rizio

blublublu · gio 15 set , 2011 4:40 pm

beh, la mia è un'idea, poi le condizioni della tua situazione le conosci meglio tu. E dovresti perdere del tempo per pianificare, prepararti, implementare, creeresti del disservizio e probabilmente dovresti trovarti in azienda in orario inconsueto. L'utilizzo del multi-context di cui di solito si parla è la condivisione di una connessione internet tra più clienti, nel tuo caso sarebbe l'opposto, quindi un po' strano ma per funzionare non ci sono problemi.
Tra l'altro, con 2 firewall con licenza normale il failover dovresti porterlo fare, active-standby con singolo context o active-active con multi-context

Rizio · ven 16 set , 2011 8:06 am

Ok, ti ringrazio delle info, valuto.

zot · ven 16 set , 2011 11:18 am

blublublu ha scritto:.......con 2 firewall con licenza normale il failover dovresti porterlo fare, active-standby con singolo context o active-active con multi-context

Confermo anche perche' dici di avere 4 interfacce disponibili.....quindi non hai licenza "base".

Rizio · ven 16 set , 2011 11:37 am

zot ha scritto:
blublublu ha scritto:.......con 2 firewall con licenza normale il failover dovresti porterlo fare, active-standby con singolo context o active-active con multi-context
Confermo anche perche' dici di avere 4 interfacce disponibili.....quindi non hai licenza "base".

Sono messo così

Codice: Seleziona tutto

Ethernet0/0              outside                xxxxxx     255.255.255.240 CONFIG
Ethernet0/1              inside                 xxxxxxx    255.255.0.0     CONFIG
Ethernet0/2              dmz                    xxxxxxx  255.255.255.0   CONFIG
Ethernet0/3              outside2                xxxxxxxx   255.255.255.192 manual

Mi va da Dio allora

Grazie
Rizio

blublublu · ven 16 set , 2011 11:42 am

ops... mi ero dimenticato che con multi-context la VPN non funziona. Quindi nel caso l'accorpamente dei firewall lo vedo vantaggioso solo se una delle connessioni internet viene utilizzato solo come backup.

Rizio · lun 19 set , 2011 8:53 am

Ok, lo tengo presente, grazie ancora

Rizio

Dubbio su distribuzione di più ASA

Login • Iscriviti