Adesso ho 2 provider in azienda che fanno capo ognuno al proprio 2811 con il proprio ASA 5510 davanti che mi filtra la LAN.
Su ogni ASA ho programmato una DMZ che però è realmente utilizzata solo su uno dei 2 provider.
Fatte queste premesse pensavo se potesse valere la pena liberarmi un ASA e gestire tutto con un solo ASA (no, non ho la licenza per il failover ).
Visto che il 5510 ha 4 porte pensavo di fare 2 OUTSIDE, 1 DMZ (solo su un provider) e una INSIDE. Vedete contro indicazioni in questo?
Il dubbi omaggiore che ho io riguarda le capacità di routing dell'ASA, cioè ora ho 2 IP in LAN, uno per ogni provider, a cui posso fare riferimento in base a dove voglio che un determinato pacchetto transiti, dopo avrei un solo IP a dovrei far fare "routing" all'asa.....
Mi date il vostro parere?
Grazie
Rizio
Dubbio su distribuzione di più ASA
Moderatore: Federico.Lagni
-
- Messianic Network master
- Messaggi: 1158
- Iscritto il: ven 12 ott , 2007 2:48 pm
- Contatta:
Si vis pacem para bellum
-
- Cisco power user
- Messaggi: 82
- Iscritto il: mer 11 mag , 2011 6:14 pm
non so se ne valga la pena ma potresti fare operere un unico firewall in multi-context, in pratica avresti 2 firewall virtuali indipendenti. L'interfaccia interna andrebbe condivisa tra i 2 context ed ognuno avrebbe un IP diverso. La scelta dell'instradamento la faresti prima del firewall, così come eventuali ip sla monitor
-
- Messianic Network master
- Messaggi: 1158
- Iscritto il: ven 12 ott , 2007 2:48 pm
- Contatta:
hummm..... non conoscevo quella features...... perchè dici che non sai se ne valga la pena? Per il fatto che è molto complicato da gestire o solo per il fatto che ne ho già due configurati?
Rizio
Rizio
Si vis pacem para bellum
-
- Cisco power user
- Messaggi: 82
- Iscritto il: mer 11 mag , 2011 6:14 pm
beh, la mia è un'idea, poi le condizioni della tua situazione le conosci meglio tu. E dovresti perdere del tempo per pianificare, prepararti, implementare, creeresti del disservizio e probabilmente dovresti trovarti in azienda in orario inconsueto. L'utilizzo del multi-context di cui di solito si parla è la condivisione di una connessione internet tra più clienti, nel tuo caso sarebbe l'opposto, quindi un po' strano ma per funzionare non ci sono problemi.
Tra l'altro, con 2 firewall con licenza normale il failover dovresti porterlo fare, active-standby con singolo context o active-active con multi-context
Tra l'altro, con 2 firewall con licenza normale il failover dovresti porterlo fare, active-standby con singolo context o active-active con multi-context
-
- Messianic Network master
- Messaggi: 1158
- Iscritto il: ven 12 ott , 2007 2:48 pm
- Contatta:
Ok, ti ringrazio delle info, valuto.
Si vis pacem para bellum
- zot
- Messianic Network master
- Messaggi: 1274
- Iscritto il: mer 17 nov , 2004 1:13 am
- Località: Teramo
- Contatta:
Confermo anche perche' dici di avere 4 interfacce disponibili.....quindi non hai licenza "base".blublublu ha scritto:.......con 2 firewall con licenza normale il failover dovresti porterlo fare, active-standby con singolo context o active-active con multi-context
-
- Messianic Network master
- Messaggi: 1158
- Iscritto il: ven 12 ott , 2007 2:48 pm
- Contatta:
Sono messo cosìzot ha scritto:Confermo anche perche' dici di avere 4 interfacce disponibili.....quindi non hai licenza "base".blublublu ha scritto:.......con 2 firewall con licenza normale il failover dovresti porterlo fare, active-standby con singolo context o active-active con multi-context
Codice: Seleziona tutto
Ethernet0/0 outside xxxxxx 255.255.255.240 CONFIG
Ethernet0/1 inside xxxxxxx 255.255.0.0 CONFIG
Ethernet0/2 dmz xxxxxxx 255.255.255.0 CONFIG
Ethernet0/3 outside2 xxxxxxxx 255.255.255.192 manual
Grazie
Rizio
Si vis pacem para bellum
-
- Messianic Network master
- Messaggi: 1158
- Iscritto il: ven 12 ott , 2007 2:48 pm
- Contatta:
Ok, lo tengo presente, grazie ancora
Rizio
Rizio
Si vis pacem para bellum