ASA - dylematy

[leo101]

Ja chcę kolegów się trochę poradzić do do ASA. też o clusterze myślałem ale brak statycznych NAT do jednego adresu może być dla mnie bolesne.
Może od początku mam dwie ASA 5516 i chce na nich Anyconncet vpn site-to site VPN GW, routing ale głównie statyczny L3/routed. z tego co czytałem to chyba najlepszym rozwiązaniem będzie A/S choć martwi mnie że nie będą replikować się profile Anny.. i local certyfikaty.
Można prosić o jakąś sugestię ??

Z góry dziękuję

[mihu]

Ja chcę kolegów się trochę poradzić do do ASA. też o clusterze myślałem ale brak statycznych NAT do jednego adresu może być dla mnie bolesne.
Może od początku mam dwie ASA 5516 i chce na nich Anyconncet vpn site-to site VPN GW, routing ale głównie statyczny L3/routed. z tego co czytałem to chyba najlepszym rozwiązaniem będzie A/S choć martwi mnie że nie będą replikować się profile Anny.. i local certyfikaty.
Można prosić o jakąś sugestię ??

Z góry dziękuję

IMHO jesli ASA HA to głównie w A/P. Czemu?

bo ASA HA A/A to nie jest Active / Active, a multiple Active/Passive w różnej kombinacji i w większości przypadków dodatkowe utrudnienie w zarządzaniu. Jeden z przypadków gdzie może to mieć sens to środowisko multi-tenant, ale wtedy mówimy o module dla chassis lub 5585-X żeby to miało sens. Chociaż i tu trzeba uważać - niby fajnie bo sie ruch rozłoży po dwóch pudłach, ale w przypadku awarii to już bywa różnie, tym bardziej jeśli każdy z firewalli ma większe obciążenie niż powinien.

ASA cluster - fajna sprawa, ale też wydaje mi się że jest to rozwiązanie providerskie, lub DC. Spore ograniczenia ( to się mogło zmienić bo sprawdzałem jakiś czas temu) i raczej też wydaje mi się, że ma to większy sens przy 3 i więcej pudłach. 3+ jeśli dobrze pamiętam też jest dopiero wspierane na największych ASAch.

W środowisku enterprise wybrałbym zawsze A/P - stare sprawdzone i działa.

Co do certyfikatów zawsze lepiej postawić Windows CA, a jeśli już musi być na ASA to z A/A i tak będzie więcej problemów niż A/P.

[gangrena]

Ja chcę kolegów się trochę poradzić do do ASA. też o clusterze myślałem ale brak statycznych NAT do jednego adresu może być dla mnie bolesne.

Co masz na myśli mówiąc, że brak statycznych NAT do jednego adresu? Generalnie klastrowanie wspiera static NAT. O jakim przypadku mówisz?

[martino76]

Ja chcę kolegów się trochę poradzić do do ASA. też o clusterze myślałem ale brak statycznych NAT do jednego adresu może być dla mnie bolesne.

Co masz na myśli mówiąc, że brak statycznych NAT do jednego adresu? Generalnie klastrowanie wspiera static NAT. O jakim przypadku mówisz?

Witam,

Dla kolegi chodziło chyba o to , ze w przypadku klastra wymagane jest używanie NAT Pool, gdzie IP z NAT Pool jest redystrybuowane do wszystkich urządzeń w klastrze przez master i wymagane jest by miec tyle adresów IP w NAT Pool ile mamy urządzeń w klastrze. W przypadku, kiedy mamy pojedynczy IP NAT PAT, możemy zauważyć problemy nie tylko z NAT ale również z CPU.

Tutaj jest więcej info odnośnie NAT i Clastra link

Kiedy pierwszy raz odpaliłem klaster i zrobiłem dynamic NAT PAT na outside interfejs bez NAT Pool CPU miałem 99%, gdyż powstała pętla na CCL co jest opisane w CSCuw36853.

Pozdro,

[gangrena]

Dla kolegi chodziło chyba o to , ze w przypadku klastra wymagane jest używanie NAT Pool, gdzie IP z NAT Pool jest redystrybuowane do wszystkich urządzeń w klastrze przez master i wymagane jest by miec tyle adresów IP w NAT Pool ile mamy urządzeń w klastrze. W przypadku, kiedy mamy pojedynczy IP NAT PAT, możemy zauważyć problemy nie tylko z NAT ale również z CPU.

NAT Pool nie wydaje się być wymaganiem nie do spełnienia. Chyba, że ktoś dysponuje pojedynczymi adresami publicznymi IPv4. Odnośnie stabilności, to testowaliśmy static/dynamic NAT, policy PAT w klastrze ASA na 9.3(1) w routed mode. Nie napotkaliśmy problemów. Na bug, który podałeś faktycznie trzeba uważać. Dotyczy on transparent mode.

[Seba]

Jak jest limit adresów IP to raczej nie pójdziesz w opcję individual interfaces tylko w Spanned EC, a tam jak kojarzę problemu z PAT na interface nie ma.

[martino76]

Jak jest limit adresów IP to raczej nie pójdziesz w opcję individual interfaces tylko w Spanned EC, a tam jak kojarzę problemu z PAT na interface nie ma.

Problem, który opisałem wystąpił ze span EC, po zastosowaniu Dynamic NAT Pool wszystko wróciło do normy.

Pozdro,

[Seba]

Niedoprecyzowałem -> w nowszych softach problemu nie ma.

Piszesz o bugu CSCuw36853, ale tam zależność problemu PAT jest nieco inna, i w tym konkretnym przypadku nie do końca chodzi tylko o zmianę z interface na Pool.
Oprócz workaround, z dobrych wiadomości jest to, że problem jest naprawiony (np. 9.5.2)

[Szutor]

Jeżeli kolega myśli o AnnyConnect to radze sprawdzić "Unsupported features" dla ASA Cluster