レイヤ2のないインターネットゲートウェイとしての2つのCisco ASA 5525-X

リストにNATを嫌う別の理由を追加します。企業ネットワークで2つのインターネット下りポイントを取り上げます。エッジデバイスはASA 5525-Xファイアウォールになります。従来は、これらをある種のクラスターに配置していましたが、これにはL2接続が必要です。これらのデバイスはネットワークの別の部分にあるため、L2接続は簡単なオプションではありません。

私が現在実行しているソリューションは、それらを独立したファイアウォールとして起動し、それぞれからデフォルトルートをアドバタイズすることです。すべてのECMP は、各フローに対して同じハッシュを持ち、それを「正しい」出力ファイアウォールに向けてプッシュする必要があります。

私の質問はこれです：

1. L2リンクを必要とせずに2つのASAをクラスタ化する方法はありますか？
2. 「いいえ」が＃1への答えであると仮定して、現在のソリューションに2番目、3番目、100組の目が必要です。

私はあなたが2つの選択肢を持っていると思います：

1. 1つのインターネット回線をプライマリとして、もう1つをフェイルオーバーとして指定する
2. ファイアウォールのあるサイト間に「NAT外部」（パブリックスペース）ルーティングを実装する

最初のオプションは、NATが壊れないように、トラフィックが常にいずれかのファイアウォールを通過することを保証します。

2番目のオプションを使用すると、両方の回線間で負荷を分散できます。各回線からの1つの等コストのデフォルトルートと、ローカルのパブリックプレフィックスが両方の回線からアドバタイズされます。（このオプションでは、サイト間の接続方法は無視されます。）

ASAの経験があまりないので、質問1にはあまり答えられません。

ただし、ECMPに関する想定には注意してください。機器が異なれば、ECMPの扱いも異なります。「宛先プレフィックスごと」の負荷分散（ほとんどECMPではない）の粒度から「パケットごと」の負荷分散までのECMP実装を見てきました。

これを機能させるには、ルーティング処理をもう少し洗練させる必要があります。ioshintsが公開したDCI相互接続情報を探します。これは、これを処理するためのネットワークの設計方法を理解するのに役立ちます。申し訳ありませんが、このURLがありません。

個人的には、長距離クラスタリングについても考慮しません。シスコの推奨は直接ケーブル接続であると思います。ECMPは機能する可能性がありますが、パケットごとではなく宛先ごと（シスコのデフォルトのAFAIK）を実行することが重要です。デュアル送信接続を必要とするパッシブFTP転送への影響を考慮してください。