Firewall Dual Cisco Router Stateful

Nella mia azienda abbiamo un singolo router Cisco 3925sec / k9 in esecuzione BGP con 2 ISP. Ora vogliamo acquistare un router ridondante dello stesso model per eliminare un singolo punto di fallimento.

Posso impostare BGP tra router e ISP senza problemi. Prevediamo di submit tutto il traffico tramite ISP A e ricevere tutto il traffico tramite ISP B (gli ISP ci inviano solo gateway predefiniti e possiamo giocare con gli attributi as-prepends e local_pref). immettere qui la descrizione dell'immagine

Quindi la mia domanda è, qual è la soluzione migliore per assicurarmi di mantenere allo stesso tempo lo stato delle statiche NAT e delle regole firewall statiche (non ZBF) su entrambi i router? Ancora una volta, voglio che il traffico venga lasciato tramite ISP A e tornato attraverso ISP B.

È ansible in tutto o pensi che sarebbe meglio acquistare un paio di serie ASA 5500 con il supporto Active / Active e fare NAT e l'ispezione su di essi?

One Solution collect form web for “Firewall Dual Cisco Router Stateful”

Sono curioso di come vorresti forzare intenzionalmente il routing asimmetrico come questo? La maggior parte delle soluzioni per questo si baserà sull'utilizzo di tracking HSRP per decidere quale router sta elaborando triggersmente le regole NAT / firewall con l'ipotesi che lo stesso router veda sia il traffico di output che di ingresso. Permettethemes di mettere in laboratorio il path che stai suggerendo e vedere se il router di standby effettua effettivamente le richieste che il router attivo ha iniziato.

Nel frattempo, le funzionalità che desideri sono sicuramente disponibili in IOS. Una coppia di ASA sarà più progettata per fare quello che vuoi, ma a seconda di quanto controllo è necessario per le regole che IOS può adattarsi alla fattura.

Qualcosa di simile dovrebbe funzionare per tenere traccia degli stati NAT. È da un fornitore di studio CCIE, ma è spiegato abbastanza bene.

Vedere anche la documentazione di Cisco per IOS Firewall Stateful Failover . Il command magico è …

(config-if) ip inspect <cbac-name> {in | out} redundancy stateful <hsrp-name> 

Modifica: Ho girato questo in GNS3, ei risultati sono una borsa mista. La breve risposta è che NAT functionrà bene. CBAC, tuttavia, non lo farà.

È ansible utilizzare Redundant NAT per condividere gli stati tra i due router, consentendo agli stati creati sul router "outgoing" di creare stati uguali nel router "ingress". Questi stati sono attivi e functionranno bene.

 ip nat Stateful id <unique-router-num> redundancy <hsrp-name> mapping-id <mapping-id> ip nat inside source list <acl> pool <pool> mapping-id <mapping-id> overload 

Tuttavia, CBAC sta per dimostrare più di un problema. È ansible impostare IPC tra i due router e farli condividere gli stati.

 redundancy inter-device scheme standby <hsrp-name> <reboot required> ipc zone default association 1 //only 1 is supported protocol sctp local-port <port-num> local-ip <my-ip> remote-port <port-num> remote-ip <my-ip> interface <WAN interface> ip access-group <acl> in ip inspect <inspect-name> out redundancy stateful <hsrp-name> 

Alcuni problemi importnti con questo approccio però …

  • gli stati sono condivisi tra i dispositivi, ma sono attivi solo sul dispositivo attivo HSRP
  • quando si verifica un failover, il vecchio dispositivo attivo FORCE A RELOAD

Quindi sì, CBAC support una certa ridondanza, ma è abbastanza inutile per la tua situazione. Certo che non puoi fare ZBF? Firewall Alta disponibilità di criteri basati sulla zona @ Cisco.com

Sono ancora curioso di sapere perché avete bisogno di questo routing forzato-asimmetrico, in quanto questo impedisce l'utilizzo del CBAC.

Suggerimenti per Linux e Windows Server, quali Ubuntu, Centos, Apache, Nginx, Debian e argomenti di rete.