fizik051 Опубликовано 13 сентября, 2016 Добрый день, коллеги! Во вложении упрощенная схема сети. Есть L2 свич, куда подключаются пользователи, есть ASA, обеспечивающая выход в инет (ISP1). Для отказоустойчивости завели еще одного провайдера (ISP2). Хочется еще реализовать отказоустойчивость на уровне железа, но покупать еще одну ASA - дорого. Думаю про микротик. Но есть вопрос, как организовать между ними подобие failover-а? Сначала смотрел в сторону VRRP, есть даже примеры такой настройки. Но этот подошло бы, если бы мы использовали одного провайдера, а с двумя не выходит (т.к. vrrp будет мониторить только один линк во внутренюю сеть). Свич L2, так что там особо не понастраиваешь маршрутизацию. Может есть у кого-то идеи как это сростить? P.S. Знаю, что решение костыльное, но пока рассматриваю экономичные варианты. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SyJet Опубликовано 13 сентября, 2016 Нужно больше микротиков! (с)Сааб Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
infery Опубликовано 13 сентября, 2016 На микроте скриптами мониторите ISP, меняете приоритет vrrp на самый низкий, если ISP упал. На ASA можно использовать ip sla и track, на крайняк eem (есть ли все это на аса?) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Nik0n Опубликовано 13 сентября, 2016 Кол-во ASA и каналов ISP вообще идут параллелно между собой. А ваша схема ИМХО кривая, я бы так не делал :). В ней Вы не сможете использовать ISP1 когда "привязаный" к нему ASA1 "упадет". Вы же хотите повысить отказоусточивость ! Включайте ISP-1 и ISP-2 в L2 свич, и выдайте их на ASA-1 и ASA-2 (или что там будет) через VLAN-ы. Сможете гонять трафик в ISP1/2 через любой ASA. ЗЫ Да и тогда у Вас только L2 свич будет "точкой отказа". Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
fizik051 Опубликовано 14 сентября, 2016 ЗЫ Да и тогда у Вас только L2 свич будет "точкой отказа". Я подумываю о линке между МК и ASA, без свичей. В случае падения инета на ASA, инет будет браться с МК, но трафик ЛВС по прежнему будет идти через ASA. А вот если ASA вообще вырубить, тогда трафик ЛВС должен пойти через МК. Вот тут я и не знаю как лучше сделать... Думаю на счет VRRP, чтобы у клиентов изначально в качестве шлюза был виртальный ip Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ShyLion Опубликовано 14 сентября, 2016 Как это делается на "нормальных" цисках: Берется два ISR/ISR2 роутера, на каждом дефолт смотрит в провайдера. Экспорт дефолта в EIGRP делается по трекингу IP SLA, можно трекать пачку рутовых DNS например, они к нагрузке привычные, плюс обобщающий трек по процентному соотношению апов/даунов, вон он и влияет на экспорт. На разных ISP метрики наружу разные если надо чтобы второй в резерве был или одинаковые, чтобы балансировка CEFом, но тут может быть засада со статическим натом. Оба роутера втыкаются в L3 свитч типа каталиста 35хх, 36хх, 37хх, он "выбирает" дефолт из EIGRP по метрикам, из коробки. Скрещивать ASA и некротик - получите метр колючей проволоки. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nkusnetsov Опубликовано 14 сентября, 2016 (изменено) fizik051, а Вам чего именно хочется больше? Защититься от падения провайдера или от смерти маршрутизатора? Если дело в провайдере и доступе в Интернет, то ASA умеет SLA monitoring и MultiWAN - http://www.cisco.com/c/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/118962-configure-asa-00.html И никаких дополнительных маршрутизаторов не надо. А для более полной защиты, Вам надо дублировать всё - и маршрутизатор, и свитч тоже. Изменено 14 сентября, 2016 пользователем nkusnetsov Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...