我们目前有一个ASA5505,并获得第二个ISP(两个ISP将有20个上/下专用光纤)。
我们需要能够设置BGP / Multi-homing,但是我发现ASA不支持这个。 这是因为它们是更多的防火墙(具有NAT能力),然后是路由器。
我们需要什么types的硬件来实现这个function? 我们将要求其中的两个可以configuration为故障转移对。
目前,我们的两个ASA都有Security +,并被设置为故障转移arrays。
你有几个select。 一种可能性就是在ASA5505之前放置两台便宜的个人电脑。 一台PC将作为你的“边界路由器”给每个ISP,并与另一个“边界路由器”和ISP一起运行BGP。 然后,你将有自己的ISPnetworking从边界路由器出来,你可以连接你的防火墙。
您可以使用任何操作系统或平台来使用您所熟悉的电脑。 OpenBSD,FreeBSD,Linux或特定于路由器的发行版在100Mbps或更低的速度下都可以正常工作。
有一个非optmial负载共享解决scheme为您的传出stream量。 您可以在您的ASA上创build四条静态路由:“一个互联网地址的一半出自一个ISP,另一个出另一ISP的另一半互联网地址”( 引用iTom )。 一个默认路由的度量值为1到ISP1,另一个默认路由的度量值为10到ISP2。
然后,您使用ICMP回显跟踪这些静态路由(SLA监控),例如8.8.8.8(您必须将每个ISP连接到不同的接口)。
因此,可以说你有前半部分的互联网地址和默认路由,公制1指向ISP1。 然后,在连接到ISP1的接口上跟踪它们,并使用该接口连接到8.8.8.8。
跟其他2条路线一样…你去了。 当你停止从你的任何一个ISP的8.8.8.8 ping,你的路由将被从路由表中删除,你将开始使用默认路由来覆盖缺less的一半互联网地址。
或者,您可以使用主动/备用解决scheme来简化解决scheme,因此您只需要两条路由,默认值为度量标准1,另一个默认值为度量标准10.然后,您仅使用ping跟踪第一个到8.8.8.8的路由。 当ping失败时,度量为1的默认路由将从路由表中删除,您将开始使用ISP2。