Pagina 1 di 1
Dubbio su distribuzione di più ASA
Inviato: gio 15 set , 2011 9:06 am
da Rizio
Adesso ho 2 provider in azienda che fanno capo ognuno al proprio 2811 con il proprio ASA 5510 davanti che mi filtra la LAN.
Su ogni ASA ho programmato una DMZ che però è realmente utilizzata solo su uno dei 2 provider.
Fatte queste premesse pensavo se potesse valere la pena liberarmi un ASA e gestire tutto con un solo ASA (no, non ho la licenza per il failover
).
Visto che il 5510 ha 4 porte pensavo di fare 2 OUTSIDE, 1 DMZ (solo su un provider) e una INSIDE. Vedete contro indicazioni in questo?
Il dubbi omaggiore che ho io riguarda le capacità di routing dell'ASA, cioè ora ho 2 IP in LAN, uno per ogni provider, a cui posso fare riferimento in base a dove voglio che un determinato pacchetto transiti, dopo avrei un solo IP a dovrei far fare "routing" all'asa.....
Mi date il vostro parere?
Grazie
Rizio
Re: Dubbio su distribuzione di più ASA
Inviato: gio 15 set , 2011 11:37 am
da blublublu
non so se ne valga la pena ma potresti fare operere un unico firewall in multi-context, in pratica avresti 2 firewall virtuali indipendenti. L'interfaccia interna andrebbe condivisa tra i 2 context ed ognuno avrebbe un IP diverso. La scelta dell'instradamento la faresti prima del firewall, così come eventuali ip sla monitor
Re: Dubbio su distribuzione di più ASA
Inviato: gio 15 set , 2011 2:49 pm
da Rizio
hummm..... non conoscevo quella features...... perchè dici che non sai se ne valga la pena? Per il fatto che è molto complicato da gestire o solo per il fatto che ne ho già due configurati?
Rizio
Re: Dubbio su distribuzione di più ASA
Inviato: gio 15 set , 2011 4:40 pm
da blublublu
beh, la mia è un'idea, poi le condizioni della tua situazione le conosci meglio tu. E dovresti perdere del tempo per pianificare, prepararti, implementare, creeresti del disservizio e probabilmente dovresti trovarti in azienda in orario inconsueto. L'utilizzo del multi-context di cui di solito si parla è la condivisione di una connessione internet tra più clienti, nel tuo caso sarebbe l'opposto, quindi un po' strano ma per funzionare non ci sono problemi.
Tra l'altro, con 2 firewall con licenza normale il failover dovresti porterlo fare, active-standby con singolo context o active-active con multi-context
Re: Dubbio su distribuzione di più ASA
Inviato: ven 16 set , 2011 8:06 am
da Rizio
Ok, ti ringrazio delle info, valuto.
Re: Dubbio su distribuzione di più ASA
Inviato: ven 16 set , 2011 11:18 am
da zot
blublublu ha scritto:.......con 2 firewall con licenza normale il failover dovresti porterlo fare, active-standby con singolo context o active-active con multi-context
Confermo anche perche' dici di avere 4 interfacce disponibili.....quindi non hai licenza "base".
Re: Dubbio su distribuzione di più ASA
Inviato: ven 16 set , 2011 11:37 am
da Rizio
zot ha scritto:blublublu ha scritto:.......con 2 firewall con licenza normale il failover dovresti porterlo fare, active-standby con singolo context o active-active con multi-context
Confermo anche perche' dici di avere 4 interfacce disponibili.....quindi non hai licenza "base".
Sono messo così
Codice: Seleziona tutto
Ethernet0/0 outside xxxxxx 255.255.255.240 CONFIG
Ethernet0/1 inside xxxxxxx 255.255.0.0 CONFIG
Ethernet0/2 dmz xxxxxxx 255.255.255.0 CONFIG
Ethernet0/3 outside2 xxxxxxxx 255.255.255.192 manual
Mi va da Dio allora
Grazie
Rizio
Re: Dubbio su distribuzione di più ASA
Inviato: ven 16 set , 2011 11:42 am
da blublublu
ops... mi ero dimenticato che con multi-context la VPN non funziona. Quindi nel caso l'accorpamente dei firewall lo vedo vantaggioso solo se una delle connessioni internet viene utilizzato solo come backup.
Re: Dubbio su distribuzione di più ASA
Inviato: lun 19 set , 2011 8:53 am
da Rizio
Ok, lo tengo presente, grazie ancora
Rizio