2 switches Cisco ASA + 4 Cisco - a melhor maneira de conectar todos juntos

Navegue suas respostas
3

Até agora, estive envolvido no uso do hardware da Cisco em ambientes profissionais, mas em um nível pequeno. Recentemente, surgiu a exigência de que as nossas novas instalações fossem construídas tendo em mente a conformidade com PCI e, como temos muito tráfego entre os servidores, decidimos investir algum dinheiro em hardware high-end da Cisco (pelo menos no segmento high-end). com o que tenho usado até agora - Cisco 5505 / Cisco 5510s).

Temos:

  • 2 * Cisco ASA 5550
  • 4 * Cisco Catalyst 2960G-48TC

Haverá dois racks, em cada 1 ASA e 2 switches. Eu estive pensando por um tempo sobre a melhor maneira de conectar tudo e sair com o seguinte esquema:

  • so 2 ASA trabalhando no modo HA, Ativo / Em Espera (não podemos usar Ativo / Ativo porque temos muitas sessões VPN)
  • Os ASAs estão conectados entre si usando dois links 0/3 - 0/3 como FOLINK e 1/3 - 1/3 como STATELINK
  • 0 / 0s em ASAs são feeds do nosso ISP
  • Os ASAs estão conectados a cada switch no rack local usando pacotes LACP (dois cabos cada)
    • Os switches
  • também são conectados entre si usando pacotes LACP

Agora, um pedido de conselho aqui - há algo de errado no meu pensamento quanto a esse design? Poderia alguma coisa ser melhorada / alterada para melhorar?

    
por bart613 26.08.2011 / 17:22

4 respostas

1

Dado o hardware preciso que você menciona, não tenho nada a acrescentar que ainda não tenha sido mencionado.

A idéia de ter dois EtherChannels, um para cada switch no rack, per ASA poderia ser simplificada um pouco usando switches empilháveis. Eu percebo que se você já tem o hardware, isso é discutível - no entanto, ele poderia simplificar futuras implementações com uma pequena mudança na aquisição de hardware.

A linha Cisco 2960S (a mais recente atualização de modelo da série Catalyst 2960) suporta o empilhamento através do FlexStack módulo de pilha - semelhante a como os 3750s são empilháveis com o StackWise [+]. O FlexStack e o StackWise não são os mesmos, mas, do ponto de vista administrativo, produzem muitos dos mesmos resultados. Para aqueles que não querem mergulhar em switches de chassi, os recursos de empilhamento da Cisco nos 2960S e 3750 [V2, E, X] fornecem um punhado de funções similares.

Nesse caso, o EtherChannel de empilhamento cruzado específico pode produzir muita simplificação. Com o EtherChannel de pilha cruzada, seria possível configurar um EtherChannel único de um ASA com uma interface PHY indo para o primeiro switch no rack e uma segunda interface PHY no EtherChannel indo para o segundo switch em o mesmo rack. Além disso, os comutadores na pilha (no mesmo rack) não precisam de EtherChannels configurados entre eles - já que sua interconectividade é fornecida pelo 2960S FlexStack.

Os cabos FlexStack podem ter até 3 m de comprimento - dependendo da proximidade dos racks, você pode conseguir empilhar todos os quatro switches.

Com múltiplos ASAs em HA, as redundâncias desejadas podem ser alcançadas com um pouco de simplificação.

Eu apresento isso porque tenho objetivos parecidos com os quais você listou os ASAs em HA e empilhou os 3750X em alguns sites de data centers de clientes.

    
por 08.09.2011 / 08:46
2

Observe que os ASA não oferecem suporte à árvore de abrangência .

Não tendo brincado muito com eles, não posso dar detalhes exatos, mas você terá que garantir que entende que o 0 / [12] portgroup e 1 / [12] portgroups são backups um para o outro. / p>

Você comprou o SMARTnet? Eu sugiro strongmente que você faça isso. A cobertura do SMARTnet permite que você faça à Cisco exatamente essa pergunta e eles o ajudarão no planejamento e configuração de seus dispositivos.

    
por 31.08.2011 / 21:55
2

Hmmm. Eu acho que isso vai ser uma bagunça spanning tree ... Se você implementá-lo assim, certifique-se de que você obtenha as prioridades da ponte para que o tráfego flua do jeito que você quer. (em outras palavras, que as portas certas estão desabilitadas e as portas certas permanecem habilitadas pelo STP) E então calcule e teste como a rede terminará quando um link ou um dispositivo quebrar.

Se você permitir que os dispositivos usem as configurações padrão, poderá acabar com algo como:

Outracoisaquemesurpreende:porquevocêusaoLACPentreoASAeosswitches?VocêestáplanejandousardiferentesVLANsedepoisdeixarofirewall/rotaASAentreelas?Casocontrário,somenteotráfegodaInternetpassarápeloASA,eissoélimitadopelalarguradebandadoISP.Comoesseéapenasumlink,nãofazsentidoterdoislinksparasuaredeinterna.

DepoisdeolharumpoucomaisparaosdocumentosdaCisco,parecequeapenasoASA5505nãopodefazeraárvoredeabrangência.IssosignificariaqueoASA5550pode.Nessecaso,vocêpodeconsiderarousodoASAcomobridgeraiz,seelepudermanipularosníveisdetráfegonecessários.Torna-semuitomaissimplesentão:

Outra opção seria adicionar outra camada de switches. Você então obtém uma árvore clara se fizer o meio alterna a raiz e a raiz de backup:

Você tem muitas opções, mas como não sei exatamente suas exigências, não posso dizer qual é a melhor opção para você. Espero ter lhe dado algumas idéias: -)

    
por 03.09.2011 / 13:53
0

Isso é o que eu acho que a melhor opção seria.

Primeiro, conecte o ASA5550 em um par de HA. Conecte a interface HA1 Inside / DMZ ao Switch1. Conecte o HA2 Inside / DMZ ao Switch dois. Faça com que o Failover monitore TODAS as interfaces que estão ativas. Entre o Switch one e o Switch two configure um LACP de 3 ou 4 portas.

Agora, isso também pressupõe que seu ISP forneceu duas conexões distintas que estão no mesmo espaço de endereço IP.

Além disso, você não disse qual versão do ASAOS está sendo executado. As notas de lançamento de 8.4 (1) mostram que introduziu EtherChannel. Eles podem valer a pena olhar para o bem.

    
por 31.08.2011 / 22:26

Tags

Configure o dhclient para executar somente DHCPDISCOVER um número fixo de vezes Linux: Como descobrir se o NIC está causando um gargalo?