[fizik051]

Добрый день, коллеги! Во вложении упрощенная схема сети. Есть L2 свич, куда подключаются пользователи, есть ASA, обеспечивающая выход в инет (ISP1). Для отказоустойчивости завели еще одного провайдера (ISP2). Хочется еще реализовать отказоустойчивость на уровне железа, но покупать еще одну ASA - дорого. Думаю про микротик. Но есть вопрос, как организовать между ними подобие failover-а? Сначала смотрел в сторону VRRP, есть даже примеры такой настройки. Но этот подошло бы, если бы мы использовали одного провайдера, а с двумя не выходит (т.к. vrrp будет мониторить только один линк во внутренюю сеть). Свич L2, так что там особо не понастраиваешь маршрутизацию. Может есть у кого-то идеи как это сростить?

P.S. Знаю, что решение костыльное, но пока рассматриваю экономичные варианты.

[SyJet]

Нужно больше микротиков! (с)Сааб

[infery]

На микроте скриптами мониторите ISP, меняете приоритет vrrp на самый низкий, если ISP упал. На ASA можно использовать ip sla и track, на крайняк eem (есть ли все это на аса?)

[Nik0n]

Кол-во ASA и каналов ISP вообще идут параллелно между собой.

А ваша схема ИМХО кривая, я бы так не делал :).

В ней Вы не сможете использовать ISP1 когда "привязаный" к нему ASA1 "упадет".

Вы же хотите повысить отказоусточивость !

Включайте ISP-1 и ISP-2 в L2 свич, и выдайте их на ASA-1 и ASA-2 (или что там будет) через VLAN-ы.

Сможете гонять трафик в ISP1/2 через любой ASA.

ЗЫ Да и тогда у Вас только L2 свич будет "точкой отказа".

[fizik051]

ЗЫ Да и тогда у Вас только L2 свич будет "точкой отказа".

Я подумываю о линке между МК и ASA, без свичей. В случае падения инета на ASA, инет будет браться с МК, но трафик ЛВС по прежнему будет идти через ASA. А вот если ASA вообще вырубить, тогда трафик ЛВС должен пойти через МК. Вот тут я и не знаю как лучше сделать... Думаю на счет VRRP, чтобы у клиентов изначально в качестве шлюза был виртальный ip

[ShyLion]

Как это делается на "нормальных" цисках:

Берется два ISR/ISR2 роутера, на каждом дефолт смотрит в провайдера.

Экспорт дефолта в EIGRP делается по трекингу IP SLA, можно трекать пачку рутовых DNS например, они к нагрузке привычные, плюс обобщающий трек по процентному соотношению апов/даунов, вон он и влияет на экспорт.

На разных ISP метрики наружу разные если надо чтобы второй в резерве был или одинаковые, чтобы балансировка CEFом, но тут может быть засада со статическим натом.

Оба роутера втыкаются в L3 свитч типа каталиста 35хх, 36хх, 37хх, он "выбирает" дефолт из EIGRP по метрикам, из коробки.

 

Скрещивать ASA и некротик - получите метр колючей проволоки.

[nkusnetsov]

fizik051, а Вам чего именно хочется больше? Защититься от падения провайдера или от смерти маршрутизатора?

Если дело в провайдере и доступе в Интернет, то ASA умеет SLA monitoring и MultiWAN - http://www.cisco.com/c/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/118962-configure-asa-00.html

И никаких дополнительных маршрутизаторов не надо.

А для более полной защиты, Вам надо дублировать всё - и маршрутизатор, и свитч тоже.

Edited September 14, 2016 by nkusnetsov