服务器 Gind.cn
  1. 服务器 Gind.cn
  3. 弹性多地点networking应用程序基础架构中的路由困境
Intereting Posts
通过Nagios监测来自传感器的input数据 Dovecot – 无法接收邮件 – 致命:插件'sieve'找不到 打印机不打印! 漫长而奇怪的传奇 Amazon S3 – 使用S3Sync,Windows Schedule和BAT文件进行自动备份 如何更改用户iis 5服务运行? 当我不允许使用MXlogging时,如何通过外部电子邮件服务设置电子邮件? 如何在Unix中使用mput将多个文件夹FTP到另一个服务器? 当configurationrsysloglogin到mysql数据库时,SystemEventsProperties表的目的是什么? 从所有angular色中删除Sys.PowerMgmt是否有缺点? nginx比apache更适合dynamic内容? IIS,Web场上的客户端证书 无法在VmWare上获得Internet连接 在Chef中组织代码:库,类和资源 在FreeNAS中同步Active Directory用户 检测Maildir中未被发现的邮件

弹性多地点networking应用程序基础架构中的路由困境

在理解/解决我们所面临的路由挑战方面需要一些帮助 – 以下是场景/假设:

  • 正在运行的Web应用程序位于2个物理位置(位置A和位置B)中
  • stream量或者通过位置A的防火墙A进入,或者根据DNS设置进入位置B的防火墙B.
  • 每个位置都有Web服务器,比如位置A的Web服务器A和位置B的Web服务器B.
  • 这两个位置互连,VLAN在两个位置之间运行
  • networking服务器A和networking服务器B因此位于相同的VLAN上并且在相同的子网中
  • networking服务器A和networking服务器B运行负载平衡,使得两者都主动处理通过哪个防火墙处于活动状态接收的stream量
  • Web服务器A和B只能有一个默认网关,它被设置为位置特定的,例如Web服务器A的默认网关是防火墙A.

防火墙是思科ASA的Web服务器W2003。

我面临的问题是Web服务器A上收到的Web应用程序的stream量可能已通过防火墙B接收到,但是默认网关设置为防火墙A,我的理解是,简单地说,响应将永远不会返回那些情况。

如果这种理解是正确的,那么可以采用什么样的路由技术来确保stream量通过它所通过的门而返回?

不幸的是,源NAT是最简单的select。 在这种情况下,ASA会将传入连接转换为显示为来自其本地接口。 networking服务器将响应这个本地stream量。 这将使你的返回路线完全对称。 如果您在Web服务器上logging日志中的stream量,则需要input源IP以外的其他内容 – 或者将防火墙日志与Web日志相关联。 这是有点痛苦,但会(并)的规模。

根据您使用的ASA,您也可以将它们作为主动 – 主动对运行。 在这种情况下,他们会分享国家和照顾任何不对称。 这需要在防火墙之间build立L2链路,假设两个站点具有不同的DMZ空间,则在两个防火墙上都存在相同的外部分段。 取决于你如何configuration路由,这可能是相当复杂的,也可能不在官方支持范围之内。 如果你可以使这个解决scheme的工作将是两个网站。