ASA - dylematy
Re: HA ASA
Ja chcę kolegów się trochę poradzić do do ASA. też o clusterze myślałem ale brak statycznych NAT do jednego adresu może być dla mnie bolesne.
Może od początku mam dwie ASA 5516 i chce na nich Anyconncet vpn site-to site VPN GW, routing ale głównie statyczny L3/routed. z tego co czytałem to chyba najlepszym rozwiązaniem będzie A/S choć martwi mnie że nie będą replikować się profile Anny.. i local certyfikaty.
Można prosić o jakąś sugestię ??
Z góry dziękuję
Może od początku mam dwie ASA 5516 i chce na nich Anyconncet vpn site-to site VPN GW, routing ale głównie statyczny L3/routed. z tego co czytałem to chyba najlepszym rozwiązaniem będzie A/S choć martwi mnie że nie będą replikować się profile Anny.. i local certyfikaty.
Można prosić o jakąś sugestię ??
Z góry dziękuję
Re: HA ASA
IMHO jesli ASA HA to głównie w A/P. Czemu?leo101 pisze:Ja chcę kolegów się trochę poradzić do do ASA. też o clusterze myślałem ale brak statycznych NAT do jednego adresu może być dla mnie bolesne.
Może od początku mam dwie ASA 5516 i chce na nich Anyconncet vpn site-to site VPN GW, routing ale głównie statyczny L3/routed. z tego co czytałem to chyba najlepszym rozwiązaniem będzie A/S choć martwi mnie że nie będą replikować się profile Anny.. i local certyfikaty.
Można prosić o jakąś sugestię ??
Z góry dziękuję
bo ASA HA A/A to nie jest Active / Active, a multiple Active/Passive w różnej kombinacji i w większości przypadków dodatkowe utrudnienie w zarządzaniu. Jeden z przypadków gdzie może to mieć sens to środowisko multi-tenant, ale wtedy mówimy o module dla chassis lub 5585-X żeby to miało sens. Chociaż i tu trzeba uważać - niby fajnie bo sie ruch rozłoży po dwóch pudłach, ale w przypadku awarii to już bywa różnie, tym bardziej jeśli każdy z firewalli ma większe obciążenie niż powinien.
ASA cluster - fajna sprawa, ale też wydaje mi się że jest to rozwiązanie providerskie, lub DC. Spore ograniczenia ( to się mogło zmienić bo sprawdzałem jakiś czas temu) i raczej też wydaje mi się, że ma to większy sens przy 3 i więcej pudłach. 3+ jeśli dobrze pamiętam też jest dopiero wspierane na największych ASAch.
W środowisku enterprise wybrałbym zawsze A/P - stare sprawdzone i działa.
Co do certyfikatów zawsze lepiej postawić Windows CA, a jeśli już musi być na ASA to z A/A i tak będzie więcej problemów niż A/P.
ML
-------------------------------------------------------------------------------------
"Minds are like parachutes, they work best when they are open"
-------------------------------------------------------------------------------------
"Minds are like parachutes, they work best when they are open"
Re: HA ASA
Co masz na myśli mówiąc, że brak statycznych NAT do jednego adresu? Generalnie klastrowanie wspiera static NAT. O jakim przypadku mówisz?leo101 pisze:Ja chcę kolegów się trochę poradzić do do ASA. też o clusterze myślałem ale brak statycznych NAT do jednego adresu może być dla mnie bolesne.
Re: HA ASA
Witam,gangrena pisze:Co masz na myśli mówiąc, że brak statycznych NAT do jednego adresu? Generalnie klastrowanie wspiera static NAT. O jakim przypadku mówisz?leo101 pisze:Ja chcę kolegów się trochę poradzić do do ASA. też o clusterze myślałem ale brak statycznych NAT do jednego adresu może być dla mnie bolesne.
Dla kolegi chodziło chyba o to , ze w przypadku klastra wymagane jest używanie NAT Pool, gdzie IP z NAT Pool jest redystrybuowane do wszystkich urządzeń w klastrze przez master i wymagane jest by miec tyle adresów IP w NAT Pool ile mamy urządzeń w klastrze. W przypadku, kiedy mamy pojedynczy IP NAT PAT, możemy zauważyć problemy nie tylko z NAT ale również z CPU.
Tutaj jest więcej info odnośnie NAT i Clastra link
Kiedy pierwszy raz odpaliłem klaster i zrobiłem dynamic NAT PAT na outside interfejs bez NAT Pool CPU miałem 99%, gdyż powstała pętla na CCL co jest opisane w CSCuw36853.
Pozdro,
Re: HA ASA
NAT Pool nie wydaje się być wymaganiem nie do spełnienia. Chyba, że ktoś dysponuje pojedynczymi adresami publicznymi IPv4. Odnośnie stabilności, to testowaliśmy static/dynamic NAT, policy PAT w klastrze ASA na 9.3(1) w routed mode. Nie napotkaliśmy problemów. Na bug, który podałeś faktycznie trzeba uważać. Dotyczy on transparent mode.martino76 pisze:Dla kolegi chodziło chyba o to , ze w przypadku klastra wymagane jest używanie NAT Pool, gdzie IP z NAT Pool jest redystrybuowane do wszystkich urządzeń w klastrze przez master i wymagane jest by miec tyle adresów IP w NAT Pool ile mamy urządzeń w klastrze. W przypadku, kiedy mamy pojedynczy IP NAT PAT, możemy zauważyć problemy nie tylko z NAT ale również z CPU.
Niedoprecyzowałem -> w nowszych softach problemu nie ma.
Piszesz o bugu CSCuw36853, ale tam zależność problemu PAT jest nieco inna, i w tym konkretnym przypadku nie do końca chodzi tylko o zmianę z interface na Pool.
Oprócz workaround, z dobrych wiadomości jest to, że problem jest naprawiony (np. 9.5.2)
Piszesz o bugu CSCuw36853, ale tam zależność problemu PAT jest nieco inna, i w tym konkretnym przypadku nie do końca chodzi tylko o zmianę z interface na Pool.
Oprócz workaround, z dobrych wiadomości jest to, że problem jest naprawiony (np. 9.5.2)
"Two things are infinite: the universe and human stupidity; and I'm not sure about the universe."
A. Einstein
A. Einstein