CiscoForums.it

Ciao a tutti,
posto nella sezione infrastrutture la mia domanda riguardo una configurazione che vorrei adotttare da un cliente con dual ISP attiva.

Attualmente c'è:
Internet --> Router Cisco 1800 --> ASA --> LAN

Vorrei poter utilizzare una nuova linea per separare il traffico dalla primaria, questa nuova linea verrà usata SOLO per la gestione esterna dei server che avviene tramite VPN (su ASA).

Internet primaria --> Router Cisco 1800 --> ASA --> LAN
Internet secondaria --^

E' possibile creare un'infrastruttura del genere con l'ASA? Che io sappia è solo active/passive.

grazie
ciao

Ciao,
ho anche io questa esigenza, per caso hai già trovato una soluzione?

Imho ti basta prendere un'altra porta dell'asa e collegrla alla seconda porta del 1800.
In caso altrimenti puoi usare le vlan. "Tagghi" le vlan sull'asa (cosa che però non ho mai fatto) e meti la porta tra l'asa e il 1800 in trunk poi suddividi il traffico sul router attraverso delle route-map (o più semplicemente con delle rotte statiche se la struttura è molto semplice).

Altra ipotesi potrebbe essere intestare la seconda linea internet su un altro router (gestendo tutto con indirizzi interni di classi diverse) collegato ad un'altra porta dell'ASA, così crei semplicemente una struttura parallela alla prima e gestisci tutto senza problemi con il semplice routing.

E' chiaro che tutte e due le ipotesi variano in base allo switch di centro stella che hai, fà sicuramente la differenza semplificando o meno certi passaggi (Es. la gestione delle vlan la potrebbe fare lui)

Imho, se ho capito bene cosa vuoi/volete fare la struttra active/passive non c'entra nulla con questo problema.

Ciao Rizio,
prendendo in considerazione l'opzione B (quella di usare due router). Serve una licenza particolare dell'ASA per la gestione delle due rotte?
Nello specifico ruotare un pool di indirizzi locali sulla WAN1 e un host sulla WAN2 è possibile con qualsiasi versione dell'ASA 5505 o serve una licenza es la SEC BUN K9? (quella con 20 VLAN, DMZ, etc.)
Intanto grazie mille per la risposta (scusate se mi intrometto nel post ma se ho capito bene può interessare anche alla persona che ha creato il post )

LucaCiscoForums ha scritto:prendendo in considerazione l'opzione B (quella di usare due router). Serve una licenza particolare dell'ASA per la gestione delle due rotte?

Non sono un commerciale e sono anche parecchio ostativo riguardo al sistema di licensing Cisco però sono certo che non ci sia bisogno di alcuna licenza aggiuntiva per gestire più rotte sull'ASA

LucaCiscoForums ha scritto:Nello specifico ruotare un pool di indirizzi locali sulla WAN1 e un host sulla WAN2 è possibile con qualsiasi versione dell'ASA 5505 o serve una licenza es la SEC BUN K9? (quella con 20 VLAN, DMZ, etc.)

Imho se vedi l'interfaccia la puoi sare, per quel che ne sapevo io sui PIX se non avevi la licenza proprio non vedevi nemmeno l'interfaccia.
Magari fatti confermare la cosa da un commerciale Cisco però io credo che tutt'ora che vedi l'interfaccia nella conf e ti è permesso di interagire non ci siano problemi di licenza.

My 2 cent
Rizio

La licenza base mi sembra attivi 3 poerte lan....

Sul 5505 la licenza serve per attivare più di tre vlan, le otto interfaccie fisiche sono tutte attive. Per quanto riguarda l'utilizzo di due isp su due interfacce di un' ASA c'è un bel problema, cioè sullo stesso contesto non si possono usare due rotte di default che puntano a reti diverse; questo non è strano a dir la verità perché l'outside di un firewall è unica. Si dovrebbero quindi usare due contesti, ma il 5505 non li supporta. In tal caso un contesto dedicato ad un isp e l'altro dedicato all' altro.