Firewall

雙 Cisco 路由器狀態防火牆

  • March 28, 2013

在我的公司,我們有一個執行 BGP 的 Cisco 3925sec/k9 路由器和 2 個 ISP。現在我們想購買一個相同型號的冗餘路由器來消除單點故障。

我可以在路由器和 ISP 之間設置 BGP 沒有問題。我們計劃通過 ISP A 發送所有流量並通過 ISP B 接收所有流量(ISP 只向我們發送預設網關,我們可以為此使用 as-prepends 和 local_pref 屬性)。 在此處輸入圖像描述

所以我的問題是,確保我在兩個路由器上同時保持靜態 NAT 和狀態防火牆規則(不是 ZBF)狀態的最佳解決方案是什麼?同樣,我希望流量通過 ISP A 離開並通過 ISP B 返回。

是否有可能,或者您認為購買一對具有主動/主動支持的 ASA 5500 系列並對其進行 NAT 和檢查會更好?

我很好奇你為什麼要故意強制這樣的不對稱路由?大多數解決方案都將基於使用 HSRP 跟踪來決定哪個路由器正在積極處理 NAT/防火牆規則,並假設同一路由器同時看到出口和入口流量。讓我對您建議的路由進行實驗,看看備用路由器是否真的會為活動路由器發起的請求提供服務。

同時,您想要的功能在 IOS 中絕對可用。ASA 對將被設計得更適合您想要的,但取決於您需要對規則進行多少控制,IOS 可能符合要求。

像這樣的東西應該​​可以跟踪您的 NAT 狀態。它來自 CCIE 研究供應商,但解釋得很好。

另請參閱 Cisco 的IOS Firewall Stateful Failover文件。魔法命令是…

(config-if) ip inspect <cbac-name> {in | out} redundancy stateful <hsrp-name>

編輯:我已經在 GNS3 中進行了測試,結果好壞參半。簡短的回答是 NAT 可以正常工作。然而,CBAC 不會。

您可以使用冗餘 NAT 在兩個路由器之間共享狀態,允許在“出口”路由器上創建的狀態在“入口”路由器上創建相同的狀態。這些狀態處於活動狀態,並且可以正常工作。

ip nat Stateful id <unique-router-num>
redundancy <hsrp-name>
mapping-id <mapping-id>

ip nat inside source list <acl> pool <pool> mapping-id <mapping-id> overload

然而,CBAC 將證明更多的問題。您可以在兩個路由器之間設置 IPC 並讓它們共享狀態。

redundancy inter-device
scheme standby <hsrp-name>
<reboot required>

ipc zone default
association 1  //only 1 is supported
protocol sctp
local-port <port-num>
 local-ip <my-ip>
remote-port <port-num>
 remote-ip <my-ip>

interface <WAN interface>
ip access-group <acl> in
ip inspect <inspect-name> out redundancy stateful <hsrp-name>

這種方法的一些主要問題雖然……

  • 狀態在設備之間共享,但僅在 HSRP 活動設備上處於活動狀態
  • 發生故障轉移時,舊的活動設備強制重新載入

所以是的,CBAC 確實支持一些冗餘,但它對您的情況毫無用處。確定不能做ZBF?基於區域的策略防火牆高可用性@ Cisco.com

我仍然很想知道您為什麼需要這種強制非對稱路由,因為這會阻止您使用 CBAC。

引用自:https://serverfault.com/questions/492981