我们正试图在一个仅向我们提供一个networking丢失的colo上设置故障转移ASAconfiguration。 鉴于只有一个networking丢失,我们不能完全消除所有单点故障,我们希望仍然能够使用我们最初设想的故障转移ASAconfiguration。
我们在colo没有路由器,因为我们希望使用我们的3750交换机基础设施为我们做路由。
由colo提供的networking看起来像这样(显然这些不是公开路由的IP,但是这是一个例子):
除此之外,我们还有一点要指出,我们的主站点正在提供第2层连接。
在我们最初的devise中,我们曾设想3750将成为我们所有设备的路由器,也就是说,colo上的所有设备都将使用Cisco 3750作为默认网关。 3750将决定是否内部stream量(即本地交换),点对点(即切换回主办公室),或外部(路由出)。
我们遇到的问题是,我们希望我们的所有外部路由数据包都通过防火墙发送,以便进行过滤。 一旦这些数据包离开了防火墙,它们将通过OB连接被路由出去,然后将它们发送回源于它们的3750(通过不同的VLAN),然后离开COLO连接。
像这样的configuration允许我们做的是在每个ASA上configuration2个路由的IP(192.168.200.1和192.168.200.2)以进行故障切换。 在3750作为我们的边缘路由器,将使我们的科洛提供客户IP(10.100.200.202),也将代表我们的单点故障。
当我们开始绘制stream量path决策树时,我们碰到的问题是,我们基本上需要3750有2条默认路由,一条是从内部networking进入的stream量 – 到防火墙的默认路由 – 一条对于来自ASA的stream量 – 从COLO提供程序连接输出默认路由。
是否有任何方法可以使用单一Cisco 3750作为ASA的唯一path使用公共路由IP来实现故障转移ASA? 我知道我可以用路由器(这将成为我的SPOF)做到这一切,但我没有一个方便,我不是非常热衷于购买一个。
我已经写了一个(非常)很长的答案,但是我突然意识到,它将在路由networking中吃掉你的整个分配的子网。
请问为什么你不这样做?
Colo <----> ASA <----> 3750 <--(L2 link)--> Office 即使由于光纤转换而必须通过3750连接ASA,也没有关系。 这是一个线速切换,延迟几乎不可能注意到。
编辑:你为什么要3750作为路由器? 你只有一个networking。