Firewall com dois estados do roteador Cisco

3

Na minha empresa, temos um único roteador Cisco 3925sec / k9 executando o BGP com 2 ISPs. Agora queremos comprar um roteador redundante do mesmo modelo para eliminar um único ponto de falha.

Eu posso configurar o BGP entre roteadores e ISPs sem problemas. Planejamos enviar todo o tráfego através do ISP A e receber todo o tráfego através do ISP B (os ISPs nos enviam apenas gateways padrão e podemos brincar com os atributos as-prepends e local_pref para isso).

Então, minha pergunta é: qual é a melhor solução para manter o estado de NAT estático e regras de firewall com estado (não ZBF) em ambos os roteadores ao mesmo tempo? Novamente, quero que o tráfego saia pelo ISP A e retorne pelo ISP B.

É possível ou você acha que seria melhor comprar um par de séries ASA 5500 com suporte Ativo / Ativo e fazer NAT e inspeção nelas?

    
por Alec T 27.03.2013 / 21:42

1 resposta

3

Estou curioso para saber por que você gostaria de forçar propositalmente o roteamento assimétrico assim? A maioria das soluções para isso se baseia no uso do rastreamento HSRP para decidir qual roteador está processando ativamente as regras de NAT / firewall com a suposição de que o mesmo roteador está vendo o tráfego de saída e de entrada. Deixe-me testar o roteamento que você está sugerindo e ver se o roteador em espera atenderá as solicitações que o roteador ativo iniciou.

Enquanto isso, os recursos que você deseja definitivamente estão disponíveis no IOS. Um par ASA vai ser mais projetado para fazer o que você está querendo, mas dependendo de quanto controle você precisa sobre as regras, o IOS pode se encaixar bem.

Algo como este deve funcionar para rastrear seus estados NAT . É de um fornecedor de estudo CCIE, mas é explicado muito bem.

Veja também a documentação da Cisco para Failover com estado do Firewall do IOS . O comando mágico é ...

(config-if) ip inspect <cbac-name> {in | out} redundancy stateful <hsrp-name>

Editar: Eu tenho labbed isso no GNS3, e os resultados são um saco misturado. A resposta curta é que o NAT funcionará bem. CBAC, no entanto, não vai.

Você pode usar o NAT redundante para compartilhar estados entre os dois roteadores, permitindo que os estados criados no roteador de "saída" criem estados iguais no roteador de "ingresso". Esses estados estão ativos e funcionarão bem.

ip nat Stateful id <unique-router-num>
redundancy <hsrp-name>
mapping-id <mapping-id>

ip nat inside source list <acl> pool <pool> mapping-id <mapping-id> overload

No entanto, a CBAC vai provar mais um problema. Você pode configurar o IPC entre seus dois roteadores e fazer com que eles compartilhem estados.

redundancy inter-device
scheme standby <hsrp-name>
<reboot required>

ipc zone default
association 1  //only 1 is supported
protocol sctp
 local-port <port-num>
  local-ip <my-ip>
 remote-port <port-num>
  remote-ip <my-ip>

interface <WAN interface>
ip access-group <acl> in
ip inspect <inspect-name> out redundancy stateful <hsrp-name>

Algumas questões importantes com esta abordagem, no entanto ...

  • os estados são compartilhados entre os dispositivos, mas só estão ativos no Dispositivo ativo de HSRP
  • quando ocorre um failover, o dispositivo ativo antigo FORÇAS A RELOAD

Então, sim, a CBAC suporta alguma redundância, mas é muito inútil para sua situação. Claro que você não pode fazer ZBF? Política baseada em regiões Alta disponibilidade do firewall @ Cisco.com

Ainda estou curioso para saber por que você precisa desse roteamento assimétrico forçado, pois é isso que impede você de usar o CBAC.

    
por 27.03.2013 / 22:14