Cisco ASA dwa linki do ISP

Problemy związane z routingiem
Wiadomość
Autor
Awatar użytkownika
art
wannabe
wannabe
Posty: 416
Rejestracja: 04 lip 2011, 10:25

Cisco ASA dwa linki do ISP

#1

#1 Post autor: art »

Kolejne pytanie:
mam ASA, która jest podłączona do jednego ISP poprzez dwa interfejsy. Jeden z interfejsów ma działać jako Primary drugi jako Backup. Widziałem ten dokument: http://www.cisco.com/c/en/us/support/do ... .html#anc2

ale moje pytanie brzmi, czy da się w jakiś sposób zgrupować te interfejsy fizyczne ? czyli np.

Kod: Zaznacz cały

nameif outside
oraz

Kod: Zaznacz cały

nameif outside2
w jeden logiczny np

Kod: Zaznacz cały

nameif outside3 
?
Dzięki temu mógłbym utrzymywać, jedną tablicę NAT oraz jedną tablicę Access-rules zamiast 2.
Ups I switched again =)

piter1789
wannabe
wannabe
Posty: 222
Rejestracja: 01 wrz 2014, 10:46

Re: Cisco ASA dwa linki do ISP

#2

#2 Post autor: piter1789 »

z tego co pamiętam to asa nie ma interfejsów BVI.

jedynie ma interface port-channel.

Ale skoro masz jednego ISP, dwa linki to musisz mieć różne IP na tym? W jakim celu chcesz to spinać w jedne link?

Zawsze możesz zrobić PBR na wypuszczać cześć tedy ruchu a część tędy, a jak któryś Ci link padnie to pójdzie wszytko jednym łączem;)

Awatar użytkownika
art
wannabe
wannabe
Posty: 416
Rejestracja: 04 lip 2011, 10:25

Re: Cisco ASA dwa linki do ISP

#3

#3 Post autor: art »

piter1789 pisze:z tego co pamiętam to asa nie ma interfejsów BVI.

jedynie ma interface port-channel.

Ale skoro masz jednego ISP, dwa linki to musisz mieć różne IP na tym? W jakim celu chcesz to spinać w jedne link?

Zawsze możesz zrobić PBR na wypuszczać cześć tedy ruchu a część tędy, a jak któryś Ci link padnie to pójdzie wszytko jednym łączem;)
Port-channel to widziałem ale jednak to nie to. Dwa linki do jednego ISP i dostałem dwa różne adresy IPv4 (do tego skonfigurowane BGP). PBR mi nie potrzebny, bo nie mam wysyconego łącza, więc nie widzę tutaj żadnej korzyści.

Czemu w jeden link, odpowiedź wyżej: mając dwa muszę utrzymywać dwie tablice NAT'ów oraz Access-Rules.
Ups I switched again =)

piter1789
wannabe
wannabe
Posty: 222
Rejestracja: 01 wrz 2014, 10:46

Re: Cisco ASA dwa linki do ISP

#4

#4 Post autor: piter1789 »

ale możesz mieć tą samą ACL do dwóch interfejsów przypisaną i powinno działać. ;))

piter1789
wannabe
wannabe
Posty: 222
Rejestracja: 01 wrz 2014, 10:46

Re: Cisco ASA dwa linki do ISP

#5

#5 Post autor: piter1789 »

jak chcesz, żeby na forum ktoś Ci powiedział jak skonfigurować wszytko krok po kroku? Bo po twoich postach wszystkich tak to wygląda;)

Proponuję kontakt z firmą introligatorską albo testów w LAB ;)

Kyniu
wannabe
wannabe
Posty: 3595
Rejestracja: 04 lis 2006, 16:23
Kontakt:

Re: Cisco ASA dwa linki do ISP

#6

#6 Post autor: Kyniu »

piter1789 pisze:introligatorską
Hmmm.
CCNA: R&S, Security, Wireless, Collaboration. MCSE: Cloud Platform and Infrastructure, Server Infrastructure. ITIL: Foundation. PPL(A)
https://www.facebook.com/itserviceskielce/ :: https://www.linkedin.com/company/itservicespoland :: https://www.linkedin.com/in/krzysztofkania/

Awatar użytkownika
art
wannabe
wannabe
Posty: 416
Rejestracja: 04 lip 2011, 10:25

Re: Cisco ASA dwa linki do ISP

#7

#7 Post autor: art »

piter1789 pisze:jak chcesz, żeby na forum ktoś Ci powiedział jak skonfigurować wszytko krok po kroku? Bo po twoich postach wszystkich tak to wygląda;)
Hmm, ten wątek: pierwszy post: przytoczyłem dokument. Mój drugi post, wskazujący że "opcję" port channel również znam, a no i jeszcze PBR mówiący o tym że również nie jest dla mnie rozwiązaniem.

A jeszcze inaczej: pytanie brzmiało czy da się zgrupować dwa interfejsy w jeden logiczny przy określonych założeniach (wystarczy słowo klucz), a nie proszę mi to skonfigurować bo nie wiem jak :)
W każdym razie, dziękuję za troskę i chęć pomocy ale jednak nie pomogłeś:)
Ups I switched again =)

Awatar użytkownika
PatrykW
wannabe
wannabe
Posty: 1742
Rejestracja: 31 paź 2008, 16:05
Lokalizacja: UI.PL / Ubiquiti Polska.pl
Kontakt:

Re: Cisco ASA dwa linki do ISP

#8

#8 Post autor: PatrykW »

piter1789 pisze:jak chcesz, żeby na forum ktoś Ci powiedział jak skonfigurować wszytko krok po kroku? Bo po twoich postach wszystkich tak to wygląda;)

Proponuję kontakt z firmą introligatorską albo testów w LAB ;)
Chyba integratorska :D

Do autora temat, jezeli masz produkcje i boisz sie cos zrobic, moge Tobie udostepnic moje srodowisko labowe.
Poki co UNL, a jak naprawie VIRLa, to i VIRL bedzie :)

Jak cos to pisz na priv.
.ılı..ılı.

http://www.linkedin.com/in/pwojtachnio
Potrzebujesz projektu na studia z zakresu Cisco Packet Tracer & GNS ? Just give me call :)

Integrujemy i wspieramy IT :)
https://www.ui.pl | https://facebook.com/UIPolska

Jedyne rozwiązania Ubiquiti Networks w Polsce!
https://ubiquitipolska.pl | https://www.facebook.com/groups/Ubiquiti.Polska

Awatar użytkownika
art
wannabe
wannabe
Posty: 416
Rejestracja: 04 lip 2011, 10:25

Re: Cisco ASA dwa linki do ISP

#9

#9 Post autor: art »

ASA do testów to ja mam ale dzięki :) wychodzi na to, że muszę mieć dwa interfejsy nazywające się inaczej :-/
Ups I switched again =)

mihu
wannabe
wannabe
Posty: 762
Rejestracja: 10 kwie 2006, 10:37
Lokalizacja: Kraina Deszczowcow

Re: Cisco ASA dwa linki do ISP

#10

#10 Post autor: mihu »

art pisze:
Dzięki temu mógłbym utrzymywać, jedną tablicę NAT oraz jedną tablicę Access-rules zamiast 2.
jesli kazdy interfejs ma inny address IP to nie zgrupujesz, ale to juz wiesz :), chyba ze ISP da Ci jeden adres to wtedy redundant interface (opcja a z A/P). tak czy tak bedziesz musial miec 2 tablice NAT i zalezy jak zrobisz nat ale najprawdopodwoniej bedziesz musial zdupliowac network objects do NATa. Co do ACLs da sie (8.3+) - global ACL ale nie jestem jej zwolennikiem. Plus jeszcze troche rzezbienia z default route i IP SLA zeby ruch wychodzil odpowiednim interfejsem (outside - inside powinien dzialac bez problemu)

BGP IPv4 na ASAch jest supportowane od 9.2.1, v6 od 9.3.2.

P.S. Jesli ISP zalatwi Ci przekireowanie obu adresacji na jeden interfejs warto pamietac zeby wlaczyc:

Kod: Zaznacz cały

arp permit-nonconnected
ML
-------------------------------------------------------------------------------------
"Minds are like parachutes, they work best when they are open"

Awatar użytkownika
art
wannabe
wannabe
Posty: 416
Rejestracja: 04 lip 2011, 10:25

Re: Cisco ASA dwa linki do ISP

#11

#11 Post autor: art »

Thx, za odpowiedź. Nici z ułatwienia sobie życia :p zrobię to jak to jest opisane w przytoczonym przeze mnie dokumencie i powinno być OK.
Ups I switched again =)

mihu
wannabe
wannabe
Posty: 762
Rejestracja: 10 kwie 2006, 10:37
Lokalizacja: Kraina Deszczowcow

Re: Cisco ASA dwa linki do ISP

#12

#12 Post autor: mihu »

art pisze:Thx, za odpowiedź. Nici z ułatwienia sobie życia :p zrobię to jak to jest opisane w przytoczonym przeze mnie dokumencie i powinno być OK.

sorry, nie zauwazylem linku do dokumentu :). jesli chodzi o IP SLA / tracking to o to mi chodzilo. jak pisalem ACLke mozesz uzyc global, jest sprawdzana po interface acl (nie moze byc explict deny na dole ;) ). Co do rozwiazania, wszystko zalezy od tego jak ISP Ci dostarcza obie adresacje, jesli to 2 kable do tego samego routera i pewnie przez 1 switch (zero redundancji) to imo lepiej zeby oni Ci rutowali obie adresacje na jeden gateway ASY i masz jeden problem z glowy.

zalezy tez co bedziesz natowal na 2 rozne adresy - jesli jakies serwisy to jeszcze trzeba rozwiazac problem FQDNow - np. jesli serwer ma adres z puli IP1 i IP2 i IP1 padnie -bedzie to dalej routowane przez BGP do ASY? jesli tak to nie ma sensu dawac dodatkowego natu, jesli nie to DNS musi przeforwardowac FQDN do IP2.
ML
-------------------------------------------------------------------------------------
"Minds are like parachutes, they work best when they are open"

Awatar użytkownika
art
wannabe
wannabe
Posty: 416
Rejestracja: 04 lip 2011, 10:25

Re: Cisco ASA dwa linki do ISP

#13

#13 Post autor: art »

Provider daje mi 2 kabelki z dwoma adresami IP z dwóch różnych routerów.
Ups I switched again =)

ODPOWIEDZ