Сообщения без ответов | Активные темы Текущее время: 29 мар 2024, 05:23



Ответить на тему  [ Сообщений: 14 ] 
ASA A/S failover 
Автор Сообщение

Зарегистрирован: 02 фев 2019, 17:10
Сообщения: 75
Есть АСА 5512-x в нее заходят 3 провайдера в физические порты самой асы (0/1, 0/2, 0/3). Нужно реализовать A/S failover с использованием второй такой же "асы" через L3 коммутатор.
Понимание процесса и технологии есть. Но, прежде чем приступить, не совсем ясный момент для меня по подключению всего этого добра через свич. Поправьте, если ошибаюсь:
1. На свиче создать 3 vlan-а (100, 200, 300 например)
2. В vlan 100 завести линк от одной асы, второй и первого провайдера
3. В vlan 200 завести линк от одной асы, второй и второго провайдера
4. В vlan 300 завести линк от одной асы, второй и третьего провайдера
Получается задействовано 9 портов на свиче.
Порты в режиме access
И, соответственно, линк в локалку транком с allowed vlan 100 200 300
Все ли правильно, или что не допонял?
P.S. конфиги в АСАх менять нельзя в части интерфейсов.
Спасибо.


Вложения:
2019-10-13_19-13-57.jpg
2019-10-13_19-13-57.jpg [ 79.12 КБ | Просмотров: 7652 ]
13 окт 2019, 19:15
Профиль

Зарегистрирован: 07 сен 2014, 02:54
Сообщения: 548
Откуда: Msk
dezhnevo писал(а):
И, соответственно, линк в локалку транком с allowed vlan 100 200 300

А вот это не совсем понятно зачем.
По идее, линк в локалку должен быть с VLAN(-ами) от внутренних интерфейсов ASA?

Да, и VLAN-ы на картинке как-то не очень вразумительно обозначены.
В том что написано больше смысла.

_________________
Knowledge is Power


14 окт 2019, 00:20
Профиль

Зарегистрирован: 02 фев 2019, 17:10
Сообщения: 75
Да, с картинкой налажал. Переделал. Так вопрос остаётся в соединении failover с локалкой. Нужен транк с этими тремя вланами и везде его на дистриб свичах прописать, так? Чтбы Инет был у пользователей.


Вложения:
2019-10-14_08-09-57.jpg
2019-10-14_08-09-57.jpg [ 75.2 КБ | Просмотров: 7620 ]
14 окт 2019, 08:14
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 925
dezhnevo писал(а):
Нужен транк с этими тремя вланами и везде его на дистриб свичах прописать, так?

для чего? эти вланы закончились на свитче, где подключены АСА (при условии, что больше никаких устройств в этих вланах не подразумевается)
В локалку от АСА подключаете интерфейсы inside, а уж access там у вас или trunk - сами придумаете.
вы картинку правильно нарисуйте, иначе сами же запутаетесь


14 окт 2019, 09:08
Профиль

Зарегистрирован: 02 фев 2019, 17:10
Сообщения: 75
так, а с картинкой что не так? со второй.
Мог и запутаться.
влан 100: 1 провайдер и два линка от обеих ас.
влан 200: 2 провайдер и два линка от обеих ас.
влан 300: 3 провайдер и два линка от обеих ас.
Так?


14 окт 2019, 09:27
Профиль

Зарегистрирован: 02 фев 2019, 17:10
Сообщения: 75
Друзья, очень хочется узнать, приавилен ли ход моих мыслей перед началом процедуры. Очень вам спасибо за содействие:)!


19 окт 2019, 14:14
Профиль

Зарегистрирован: 07 сен 2014, 02:54
Сообщения: 548
Откуда: Msk
Так вам же подсказали правильный ход мыслей, причем два раза.
Какой смысл спрашивать, если вы не воспринимаете ответы?

_________________
Knowledge is Power


24 окт 2019, 02:09
Профиль

Зарегистрирован: 02 фев 2019, 17:10
Сообщения: 75
Спасибо. Буду разбираться


24 окт 2019, 20:30
Профиль

Зарегистрирован: 10 июл 2019, 18:21
Сообщения: 103
dezhnevo писал(а):
Спасибо. Буду разбираться


удалось победить?


28 окт 2019, 14:48
Профиль

Зарегистрирован: 26 окт 2019, 19:58
Сообщения: 8
dezhnevo писал(а):
так, а с картинкой что не так? со второй.
Мог и запутаться.
влан 100: 1 провайдер и два линка от обеих ас.
влан 200: 2 провайдер и два линка от обеих ас.
влан 300: 3 провайдер и два линка от обеих ас.
Так?


смысл на каждого оператора выделять физику свою?
ASA5512 у нее суммарный предел это гиг трафика суммарный по всем интерфейсам!
Настраивайте на ASA
Gi0/0 - failover link
Gi0/1.100 - ISP1
Gi0/1.200 - ISP2
Gi0/1.300 - ISP3
Gi0/2 - Lan inside


28 окт 2019, 20:49
Профиль

Зарегистрирован: 02 фев 2019, 17:10
Сообщения: 75
Физика на портах сделана уже была, там много накручено именно на эту схему, переделывать не хочу. Шина одна, в курсе. Такой вариант вполне нормальный. Вопрос не в дизайне.
Там разница то, один провод в итоге или 3. На праздниках буду ставить. В моей схеме аж 10 проводов будет:) 6 от провайдеров, 2 дмз, 2 инсайд


Вложения:
asa.jpg
asa.jpg [ 109.3 КБ | Просмотров: 7253 ]
30 окт 2019, 11:39
Профиль

Зарегистрирован: 29 май 2017, 21:19
Сообщения: 1404
это можно сделать за 5 мин через ASDM Failover Wizard


30 окт 2019, 12:13
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 925
так в чем у вас проблема то все таки возникла - файловер собрать или подключить физику всего этого? или может что еще?

по первому вашему вопросу и хотелки кучи проводов, то сделайте как то так
коммутатор:
порт1 - vlan100 - провайдер1
порт2 - Vlan200 - провайдер2
порт3 - vlan300 - провайдер3
порт4 - vlan100 - ASA1
порт5 - vlan200 - ASA1
порт6 - vlan300 - ASA1
порт7 - vlan100 - ASA2
порт8 - vlan200 - ASA2
порт9 - vlan300 - ASA2
порт11 - vlan400 - ASA1(inside)
порт12 - vlan400 - ASA2(inside)
порт13 - vlan500 - ASA1(dmz)
порт14 - Vlan500 - ASA2(dmz)
порт15 - trunk400,500 - например коммутаторы доступа или что у вас.


30 окт 2019, 12:28
Профиль

Зарегистрирован: 02 фев 2019, 17:10
Сообщения: 75
Да да, я все понял. Осталось только запустить. В проде, все таки, 100 раз взвесить нужно. На стенде, да, 5 минут, но ASDM не пользую, свои причины. Всем спасибо за советы, отпишу, как сделаю.


30 окт 2019, 17:32
Профиль
Показать сообщения за:  Поле сортировки  
Ответить на тему   [ Сообщений: 14 ] 

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 48


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Designed by ST Software for PTF.
Русская поддержка phpBB