2 個 Cisco ASA + 4 個 Cisco 交換機 - 連接在一起的最佳方式
到目前為止,我一直在專業環境中使用 Cisco 硬體,但只是在很小的層面上。最近,要求我們的新設施在建構時要考慮到 PCI 合規性,並且由於我們在伺服器之間傳遞了相當多的流量,我們決定將一些資金投入到高端思科硬體(至少是高端到目前為止我一直在使用 - Cisco 5505 / Cisco 5510s)。
我們有:
- 2 * 思科 ASA 5550
- 4* 思科 Catalyst 2960G-48TC
將有兩個機架,每個機架有 1 個 ASA 和 2 個交換機。我一直在思考交叉連接一切的最佳方式,並得出以下架構:
- 所以 2 ASA 在 HA 模式下工作,主動/備用(我們不能使用主動/主動,因為我們有很多 VPN 會話)
- ASA 使用兩條鏈路 0/3 - 0/3 作為 FOLINK 和 1/3 - 1/3 作為 STATELINK 相互連接
- ASA 中的 0/0 是來自我們的 ISP 的提要
- ASA 使用 LACP 捆綁包與本地機架中的每個交換機連接(每條兩條電纜)
- 交換機也使用 LACP 包相互連接
現在在這裡徵求意見——我對這個設計的想法有什麼問題嗎?有什麼可以改進/改變以使其更好嗎?
鑑於您提到的精確硬體,我沒有任何尚未提及的內容要添加。
使用可堆疊交換機可以大大簡化每個ASA擁有兩個 EtherChannel(機架中的每個交換機一個)的想法。我意識到,如果您已經擁有硬體,這是沒有實際意義的 - 但是它可以通過對硬體採購的輕微改變來簡化未來的實現。
Cisco 2960S 系列(Catalyst 2960 系列的最新型號更新)支持通過FlexStack堆棧模組進行堆疊——類似於 3750 與 StackWise 的堆疊方式
$$ + $$. FlexStack 和 StackWise 並不相同,但從管理的角度來看,它們產生了許多相同的結果。對於那些不想涉足機箱交換機的使用者,思科在 2960S 和 3750 上的堆疊功能$$ V2,E,X $$’s 提供了一些類似的功能。 在這種情況下,特別是跨堆棧 EtherChannel 可以大大簡化。借助跨堆棧 EtherChannel,可以從一個 ASA 配置單個EtherChannel,其中一個 PHY 介面連接到機架中的第一個交換機,而 EtherChannel 中的第二個 PHY 介面連接到同一機架中的第二個交換機。此外,堆棧中的交換機(在同一機架中)不需要在它們之間配置 EtherChannel,因為它們的互連是通過 2960S FlexStack 提供的。
FlexStack 電纜最長可達 3m——取決於機架之間的距離,您可能能夠堆疊所有四台交換機。
通過 HA 中的多個 ASA,可以通過相當多的簡化來實現所需的冗餘。
我提出這個問題是因為我有類似的目標,你列出的與 HA 中的 ASA 和在幾個客戶端數據中心站點堆疊的 3750X 會面。