Cisco ASA con due ISP attivi

Tutto quello che ha a che fare con le infrastrutture (non le configurazioni)

Moderatore: Federico.Lagni

Rispondi
andrew24
n00b
Messaggi: 13
Iscritto il: mar 22 set , 2009 2:44 pm

Ciao a tutti,
posto nella sezione infrastrutture la mia domanda riguardo una configurazione che vorrei adotttare da un cliente con dual ISP attiva.

Attualmente c'è:
Internet --> Router Cisco 1800 --> ASA --> LAN

Vorrei poter utilizzare una nuova linea per separare il traffico dalla primaria, questa nuova linea verrà usata SOLO per la gestione esterna dei server che avviene tramite VPN (su ASA).

Internet primaria --> Router Cisco 1800 --> ASA --> LAN
Internet secondaria --^

E' possibile creare un'infrastruttura del genere con l'ASA? Che io sappia è solo active/passive.

grazie
ciao
LucaCiscoForums
n00b
Messaggi: 4
Iscritto il: gio 06 set , 2012 10:57 pm

Ciao,
ho anche io questa esigenza, per caso hai già trovato una soluzione?
Rizio
Messianic Network master
Messaggi: 1158
Iscritto il: ven 12 ott , 2007 2:48 pm
Contatta:

Imho ti basta prendere un'altra porta dell'asa e collegrla alla seconda porta del 1800.
In caso altrimenti puoi usare le vlan. "Tagghi" le vlan sull'asa (cosa che però non ho mai fatto) e meti la porta tra l'asa e il 1800 in trunk poi suddividi il traffico sul router attraverso delle route-map (o più semplicemente con delle rotte statiche se la struttura è molto semplice).

Altra ipotesi potrebbe essere intestare la seconda linea internet su un altro router (gestendo tutto con indirizzi interni di classi diverse) collegato ad un'altra porta dell'ASA, così crei semplicemente una struttura parallela alla prima e gestisci tutto senza problemi con il semplice routing.

E' chiaro che tutte e due le ipotesi variano in base allo switch di centro stella che hai, fà sicuramente la differenza semplificando o meno certi passaggi (Es. la gestione delle vlan la potrebbe fare lui)

Imho, se ho capito bene cosa vuoi/volete fare la struttra active/passive non c'entra nulla con questo problema.
Si vis pacem para bellum
LucaCiscoForums
n00b
Messaggi: 4
Iscritto il: gio 06 set , 2012 10:57 pm

Ciao Rizio,
prendendo in considerazione l'opzione B (quella di usare due router). Serve una licenza particolare dell'ASA per la gestione delle due rotte?
Nello specifico ruotare un pool di indirizzi locali sulla WAN1 e un host sulla WAN2 è possibile con qualsiasi versione dell'ASA 5505 o serve una licenza es la SEC BUN K9? (quella con 20 VLAN, DMZ, etc.)
Intanto grazie mille per la risposta (scusate se mi intrometto nel post ma se ho capito bene può interessare anche alla persona che ha creato il post :) )
Rizio
Messianic Network master
Messaggi: 1158
Iscritto il: ven 12 ott , 2007 2:48 pm
Contatta:

LucaCiscoForums ha scritto:prendendo in considerazione l'opzione B (quella di usare due router). Serve una licenza particolare dell'ASA per la gestione delle due rotte?
Non sono un commerciale e sono anche parecchio ostativo riguardo al sistema di licensing Cisco però sono certo che non ci sia bisogno di alcuna licenza aggiuntiva per gestire più rotte sull'ASA
LucaCiscoForums ha scritto:Nello specifico ruotare un pool di indirizzi locali sulla WAN1 e un host sulla WAN2 è possibile con qualsiasi versione dell'ASA 5505 o serve una licenza es la SEC BUN K9? (quella con 20 VLAN, DMZ, etc.)
Imho se vedi l'interfaccia la puoi sare, per quel che ne sapevo io sui PIX se non avevi la licenza proprio non vedevi nemmeno l'interfaccia.
Magari fatti confermare la cosa da un commerciale Cisco però io credo che tutt'ora che vedi l'interfaccia nella conf e ti è permesso di interagire non ci siano problemi di licenza.

My 2 cent ;)
Rizio
Si vis pacem para bellum
Avatar utente
zot
Messianic Network master
Messaggi: 1274
Iscritto il: mer 17 nov , 2004 1:13 am
Località: Teramo
Contatta:

La licenza base mi sembra attivi 3 poerte lan....
Se c'è soluzione perchè t'arrabbi?
Se non c'è soluzione perchè t'arrabbi?


http://www.zotbox.net
scolpi
Network Emperor
Messaggi: 337
Iscritto il: sab 30 ott , 2010 5:33 pm

Sul 5505 la licenza serve per attivare più di tre vlan, le otto interfaccie fisiche sono tutte attive. Per quanto riguarda l'utilizzo di due isp su due interfacce di un' ASA c'è un bel problema, cioè sullo stesso contesto non si possono usare due rotte di default che puntano a reti diverse; questo non è strano a dir la verità perché l'outside di un firewall è unica. Si dovrebbero quindi usare due contesti, ma il 5505 non li supporta. In tal caso un contesto dedicato ad un isp e l'altro dedicato all' altro.
CCNA Security,CCDP, CCNP R&S
Rispondi