使用 Cisco 3750 交換機作為路由器的故障轉移 ASA 配置
我們正在嘗試在只為我們提供一個網路丟棄的主機上設置故障轉移 ASA 配置。鑑於一次網路中斷,我們無法完全消除所有單點故障,我們希望仍然能夠使用我們最初設想的故障轉移 ASA 配置。
我們在 colo 沒有路由器,因為我們希望使用我們的 3750 交換機基礎設施來為我們做路由。
colo 提供的網路看起來像這樣(顯然這些不是公共路由 IP,但這是一個範例):
- 客戶IP:10.100.200.202/30
- 提供商路由器:10.100.200.201/30
- 客戶路由塊:192.168.200.0/27
除此之外,我們還有一個指向我們的主站點的點,該站點正在提供第 2 層連接。
在我們最初的設計中,我們設想 3750 將成為我們所有設備的路由器,也就是說,colo 的所有設備都將使用 Cisco 3750 作為其預設網關。3750 將決定流量是內部(即本地交換)、點對點(即切換回總局)還是外部(路由出去)。
我們遇到的問題是我們希望所有外部路由的數據包都通過防火牆發送以進行過濾。一旦這些數據包離開防火牆,它們將通過 OB 連接路由出去,OB 連接會將它們發送回 3750(通過不同的 VLAN)從它們的來源,然後通過 colo 連接。
這樣的配置將允許我們在每個 ASA 上配置 2 個路由 IP(192.168.200.1 和 192.168.200.2)以進行故障轉移。3750 作為我們的邊緣路由器,將讓我們的 colo 提供客戶 IP (10.100.200.202),也將代表我們的單點故障。
當我們開始繪製流量路徑決策樹時,我們遇到的問題是,我們基本上需要 3750 有 2 個預設路由,一個用於來自內部網路的流量 - 到防火牆的預設路由 - 另一個對於來自 ASA 的流量——預設路由出 colo 提供商連接。
是否有任何方法可以使用單個 Cisco 3750 作為離開 ASA 的唯一路徑使用公共路由 IP 來完成故障轉移 ASA?我知道我可以用路由器(這將成為我的 SPOF)來完成這一切,但我手邊沒有一台,而且我也不是非常熱衷於購買一台。
我一直在寫一個(非常)長的答案,但我突然意識到它會吞噬你在路由網路中分配的整個子網。
請問你為什麼不這樣做?:
Colo <----> ASA <----> 3750 <--(L2 link)--> Office即使您因為光纖轉換而必須通過 3750 連接 ASA - 也沒關係。這是一個線速交換機,幾乎不可能注意到延遲。
編輯:為什麼要將 3750 作為路由器?您只有一個網路。