Estamos tentando configurar uma configuração de ASA de failover em uma coluna que está nos fornecendo apenas uma queda de rede. Dado que com uma queda de rede, não somos capazes de eliminar completamente todos os pontos únicos de falha, era nossa esperança ainda poder usar a configuração de ASA de failover que inicialmente tínhamos imaginado.
Não temos um roteador no colo, pois esperávamos usar nossa infraestrutura de comutadores 3750 para fazer o roteamento para nós.
A rede fornecida pelo colo é algo parecido com isto (obviamente, estes não são IPs publicamente roteados, mas este é um exemplo):
- IP do cliente: 10.100.200.202/30
- Roteador do provedor: 10.100.200.201/30
- Bloco encaminhado pelo cliente: 192.168.200.0/27
Além disso, também temos um ponto para apontar para nosso site principal, que está fornecendo conectividade de camada 2.
Em nosso projeto inicial, tínhamos imaginado que o 3750 seria o roteador para todos os nossos dispositivos, o que significa que tudo no colo usaria um Cisco 3750 como seu gateway padrão. O 3750 decidiria se o tráfego era interno (ou seja, comutado localmente), ponto a ponto (ou seja, comutado de volta para o escritório principal) ou externo (encaminhado para fora).
O problema que tivemos foi que queríamos que todos os nossos pacotes roteados externamente fossem enviados através do firewall para fins de filtragem. Uma vez que esses pacotes saíssem do firewall, eles seriam encaminhados através da conexão OB, que os enviaria de volta para o 3750 (através de uma VLAN diferente) de onde eles haviam se originado, e depois para a conexão de cores.
O que uma configuração como essa nos permitiria fazer seria configurar 2 de nossos IPs roteados (192.168.200.1 e 192.168.200.2) em cada um dos ASAs para o failover. O 3750, na medida em que está atuando como nosso roteador de borda, teria nosso IP de cliente fornecido por colo (10.100.200.202) e também representaria nosso único ponto de falha.
A questão que atingimos, quando começamos a desenhar a árvore de decisão do caminho de tráfego, era que essencialmente precisávamos que o 3750 tivesse duas rotas padrão, uma para o tráfego proveniente da rede interna - rota padrão para o firewall - - e um para o tráfego proveniente do ASA - rota padrão fora da conexão de provedor de colo.
Existe alguma maneira de realizar ASAs de failover usando IPs roteados publicamente usando um único Cisco 3750 como o único caminho fora do ASA? Eu sei que eu poderia fazer tudo isso com um roteador (que se tornaria meu SPOF), mas eu não tenho um prático, e eu não estou muito interessado em comprar um.