ASA防火墻雙ISP接入問題解決方案_第1頁
ASA防火墻雙ISP接入問題解決方案_第2頁
ASA防火墻雙ISP接入問題解決方案_第3頁
ASA防火墻雙ISP接入問題解決方案_第4頁
ASA防火墻雙ISP接入問題解決方案_第5頁
已閱讀5頁,還剩3頁未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

1、雙isp接入,防火墻active/active failover加非對(duì)稱路由問題的解決有一家企業(yè),對(duì)外提供服務(wù),客戶遍布全國(guó),客戶可能使用電信鏈路,可能使用網(wǎng)通鏈路,所以這家企業(yè)申請(qǐng)了兩條鏈路,一條電信,一條網(wǎng)絡(luò),希望客戶選擇合適的鏈路來訪問服務(wù)。使用了兩臺(tái)cisco防火墻分別連接電信和網(wǎng)通。后面連接整個(gè)內(nèi)部網(wǎng)絡(luò),對(duì)外提供服務(wù)的服務(wù)器也在其中。原則:1.兩條鏈路能夠使用同時(shí)使用2.外部用戶(不管使用哪條鏈路),都能正確訪問注:大體上是需要從哪條鏈路進(jìn)來的數(shù)據(jù)包,返回的數(shù)據(jù)包也要從這條鏈路回去。在防火墻上,非對(duì)稱路由很可能會(huì)有問題的。3.如果能做到負(fù)載均衡那更加好。方法考慮:1.active/s

2、tandby failover兩條鏈路配置在不同的防火墻上面(接口ip地址不一樣),而a/s failover要求兩臺(tái)防火墻配置一樣,所以這個(gè)方案行不通。其中一臺(tái)配置配置成active,兩條鏈路同時(shí)接在上面,另外一臺(tái)standby。這樣的配置問題有很多:一臺(tái)防火墻上面不能同時(shí)配置兩條默認(rèn)路由;即使其中一條鏈路寫了明晰路由(如把網(wǎng)通主要的的路由寫出來),在一臺(tái)防火墻上面,也涉及到非對(duì)稱路由的問題;方案1完全否決2.active/active failover兩條鏈路可以同時(shí)使用,而且可以接在不同的防火墻上面。因?yàn)閮膳_(tái)防火墻各有兩個(gè)context(虛擬防火墻),這四臺(tái)防火墻兩兩互備,可以實(shí)現(xiàn)負(fù)載均

3、衡。而且使用了2對(duì)虛擬防火墻,兩對(duì)虛擬防火墻配置獨(dú)立,這樣就有兩套路由表,所以在上面分別寫默認(rèn)路由一點(diǎn)問題都沒有,默認(rèn)路由問題解決。似乎這個(gè)方式很好,但是還有一個(gè)問題沒有解決,那就是非對(duì)稱路由的問題。從虛擬防火墻1進(jìn)來的數(shù)據(jù)包,進(jìn)入到內(nèi)網(wǎng),返回的時(shí)候,如果經(jīng)過了虛擬防火墻2,這個(gè)時(shí)候如果是tcp數(shù)據(jù)包,那因?yàn)檫@不是一個(gè)syn數(shù)據(jù)包,那2就可能丟棄掉這個(gè)數(shù)據(jù)包。在負(fù)載均衡上面做的不錯(cuò),但是非對(duì)稱路由沒有解決,需要再改進(jìn),不然還是不能解決問題3.防火墻獨(dú)立使用加鏈路負(fù)載均衡設(shè)備兩臺(tái)防火墻各接一條鏈路,然后都接到一臺(tái)鏈路負(fù)載均衡設(shè)備上面去。負(fù)載均衡設(shè)備的作用就是,從哪臺(tái)設(shè)備過來的數(shù)據(jù),相應(yīng)的返回?cái)?shù)據(jù)

4、,也從這從這個(gè)接口出去。這里使用了一臺(tái)負(fù)載均衡設(shè)備,解決了非對(duì)稱路由的問題,這個(gè)解決方式比較簡(jiǎn)單,不管是配置和連線。缺點(diǎn)就是2臺(tái)防火墻之間沒有做failover,還有一個(gè)大的問題,就是需要額外添加一臺(tái)鏈路負(fù)載均衡設(shè)備,不小的開銷。但是這個(gè)方式已經(jīng)達(dá)到了可用的目的了。前面2種方式,外部用戶無法正常訪問。4.方式2+鏈路負(fù)載均衡設(shè)備這種方式,一是解決了設(shè)備之間的負(fù)載均衡問題,二是解決了非對(duì)稱路由的問題。但是還是需要哪臺(tái)鏈路負(fù)載均衡設(shè)備。5.active/active failover 和cisco防火墻對(duì)非對(duì)稱路由的解決a/a已經(jīng)說過了,這里就不贅述了。這里主要談?wù)刢isco防火墻對(duì)非對(duì)稱路由的解

5、決辦法。前面說過,在非對(duì)稱路由的網(wǎng)絡(luò)里,防火墻對(duì)數(shù)據(jù)包處理很可能會(huì)出現(xiàn)問題。cisco防火墻工作原理,是基于狀態(tài)話的監(jiān)測(cè)。非對(duì)稱路由的數(shù)據(jù)包,可能在防火墻上面不能形成正確的狀態(tài),導(dǎo)致防火墻丟棄數(shù)據(jù)包,具體見cisco防火墻工作原理的介紹。在cisco防火墻新版本的os里面(fwsm是3.1版本,pix/asa應(yīng)該是7.2,但是沒有測(cè)試過),可以通過一些特殊的設(shè)置,讓非對(duì)稱路由正常工作。具體配置:cat6513兩臺(tái), ios 12.2(18)fwsm模塊2塊,os 3.1(4)cat3560一臺(tái),ios 12.2(25)active/active failover + asr-group技術(shù)看點(diǎn)

6、:active/active failove 兩條鏈路同時(shí)使用,設(shè)備之間的負(fù)載均衡asr-group 解決非對(duì)稱路由問題網(wǎng)絡(luò)拓?fù)湟娮钕旅?。這個(gè)是大體的配置:Switch 1:Firewall vlan-group 10 2-6Firewall module 13 vlan-group 10Firewall autostateFWSM 1 system:首先先改變當(dāng)前模式:mode multiple然后重起interface Vlan6description LAN/STATE Failover Interfacefailoverfailover lan unit primaryfailover

7、 lan interface forever Vlan6failover link forever Vlan6failover interface ip forever 172.16.1.1 255.255.255.0 standby 172.16.1.2failover group 1primaryfailover group 2secondaryadmin-context admincontext adminconfig-url disk:/admin.cfgcontext context1allocate-interface vlan2allocate-interface vlan3co

8、nfig-url disk:/context1.cfgjoin-failover-group 1context context2allocate-interface vlan4allocate-interface vlan5config-url disk:/context2.cfgjoin-failover-group 2FWSM 1 context1:Inter vlan 2Nameif insideSecurity-level 100Ip addr 192.168.10.1 255.255.255.0 standby 192.168.10.2Inter vlan 3Nameif outsi

9、deSecurity-level 0Ip addr 10.1.10.1 255.255.255.0 standby 10.1.10.2Inter vlan2-加入到一個(gè)組里面Asr-group 1Inter vlan3Asr-group 2-加入到另外一個(gè)組當(dāng)中Monitor-interface insideMonitor-interface outsideFWSM 1 context2:Inter vlan 4Nameif insideSecurity-level 100Ip addr 192.168.11.1 255.255.255.0 standby 192.168.11.2Inter

10、vlan 3Nameif outsideSecurity-level 0Ip addr 10.1.11.1 255.255.255.0 standby 10.1.10.2Monitor-interface insideMonitor-interface outside   Switch 2:Firewall vlan-group 10 2-6Firewall module 13 vlan-group 10Firewall autostateFWSM 2 system:首先先改變當(dāng)前模式:mode multiple然后重起interface Vlan6description

11、LAN/STATE Failover Interfacefailoverfailover lan unit secondaryfailover lan interface forever Vlan6failover link forever Vlan6failover interface ip forever 172.16.1.1 255.255.255.0 standby 172.16.1.2failover group 1secondaryfailover group 2primaryadmin-context admincontext adminconfig-url disk:/admi

12、n.cfgcontext context1allocate-interface vlan2allocate-interface vlan3config-url disk:/context1.cfgjoin-failover-group 1context context2allocate-interface vlan4allocate-interface vlan5config-url disk:/context2.cfgjoin-failover-group 2FWSM 2 context1:Inter vlan 2Nameif insideSecurity-level 100Ip addr

13、192.168.10.1 255.255.255.0 standby 192.168.10.2Inter vlan 3Nameif outsideSecurity-level 0Ip addr 10.1.10.1 255.255.255.0 standby 10.1.10.2Monitor-interface insideMonitor-interface outsideFWSM 2 context2:Inter vlan 4Nameif insideSecurity-level 100Ip addr 192.168.11.1 255.255.255.0 standby 192.168.11.

14、2Inter vlan 5Nameif outsideSecurity-level 0Ip addr 10.1.11.1 255.255.255.0 standby 10.1.11.2Monitor-interface insideMonitor-interface outsideInter vlan 4Asr-group 1Inter vlan 5Asr-group 23560 switch:vlan 3name context1vlan 5name context2inter vlan 3ip addr 10.1.10.3 255.255.255.0inter vlan 5ip addr

15、10.1.11.3 255.255.255.0ip route 192.168.10.0 255.255.255.0 10.1.11.1msfc1:vlan 2name context1vlan 4name context2inter vlan2ip addr 192.168.10.3 255.255.255.0standby 2 ip 192.168.10.5standby 2 priority 105standby 2 preemptinter vlan4ip addr 192.168.11.3 255.255.255.0standby 4 ip 192.168.11.5standby 4

16、 priority 105standby 4 preemptip route 10.1.10.0 255.255.255.0 192.168.10.1msfc2:vlan 2name context1vlan 4name context2inter vlan2ip addr 192.168.10.4 255.255.255.0standby 2 ip 192.168.10.5standby 2 preemptinter vlan4ip addr 192.168.11.4 255.255.255.0standby 4 ip 192.168.11.5standby 4 preemptasr-gro

17、up的一個(gè)拓?fù)浣忉?,見最下面。在處理非?duì)稱路由的時(shí)候,防火墻還有一種處理方式,就是tcp bypass這是tcp bypass的配置,這樣處理tcp的時(shí)候,就像處理udp一樣。當(dāng)收到一個(gè)非syn的tcp數(shù)據(jù)包的時(shí)候(如非對(duì)稱路由引起的),這個(gè)時(shí)候再fast-path里面沒有記錄,然后fw查看acl,如果允許,就讓這個(gè)數(shù)據(jù)包通過。然后記錄下來狀態(tài)。下次再有同一個(gè)流的數(shù)據(jù)包過來的話,就直接通過了,因?yàn)閒ast-path里面有其狀態(tài)。hostname(config)# access-list tcp_bypass extended permit tcp 10.1.1.0 255.255.255.0 10.2.1.0 255.255.255.0 |access-list tcp_bypass extended permit tcp any anyhostname(config)# class-map tcp_bypasshostname(config-cmap)# description "TCP traffic that bypasses stateful firewall"hostname(config-cmap)# mat

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

最新文檔

評(píng)論

0/150

提交評(píng)論