ファイアウォールの複製

互いに冗長であると考えられる2つのデータセンターサイトがある場合。ファイアウォール構成をプライマリからバックアップに同期することはできますか？両方のファイアウォールを同時に更新し続けるための最良の方法は何ですか？

もしそうなら、何が必要ですか？

使用される機器：

2つのDC間のリンクは、両方のDCコアを接続するL2リンクです。ASAは各コアに接続します。

cisco-asa redundancy failover

— user1477
ソース

これを「cisco-asa」としてタグ付けしました-データセンターでASAを使用していますか？答えは、使用しているファイアウォール、およびそれらで実行されているソフトウェアとライセンスされた機能のバージョンに依存します。この情報を質問に含めてください。

— ジョンジェンセン2013年

— Mike Pennington

何か回答がありましたか？もしそうなら、質問が永遠にポップアップし続けないように答えを受け入れ、答えを探します。または、独自の回答を提供して受け入れることもできます。

— Ron Maupin

設定は似ていますが、8.2（5）が2セットあり、社内スクリプトを使用してプライマリペアの構成変更を検出し、必要な詳細を変更して2番目のDCで接続できるようにして、構成を2番目のファイアウォールペアと最後に再起動します。

フェイルオーバーがアクティブでない間、2番目のFWペアは完全にパッシブであるため、これは私たちにとってのみ機能します。

基本的に行うすべてのスクリプトは、アクティブな設定をプルし、正規表現を実行して管理の詳細を2番目のペアの詳細に置き換え、正規表現をSNMP、ホスト名などに置き換えます。完了すると、2番目のペアに設定がTFTPされ、再起動が開始されます。。

— デビッドロセラ
ソース

必要に応じて、それをgithubまたは参照用にアップロードできます。

— David Rothera 2013年

スクリプトソリューションはおそらく、構成の同期の大まかな段階で4つのファイアウォールを維持するために実行できる最善の方法です。ただし、これはアーキテクチャ上、アクティブ/スタンバイDCシナリオに限定されています

— Mike Pennington

いいね！または、dannyvanzee @ gmail.com宛てにメール

— user1477

構成の変更後にFWを再起動する理由を教えてもらえますか？なぜそれを実行設定に移動しないのですか？

— bigmstone 2013年

running-configを上書きするだけでは一部の変更を簡単に実行できないため、これを常に行ってきました。

— David Rothera 2013年