Windows
彈性多位置 Web 應用基礎架構中的路由困境
需要一些幫助來理解/解決我們面臨的路由挑戰——這裡是場景/假設:
- 正在執行的 Web 應用程序託管在 2 個物理位置,位置 A 和 B
- 流量要麼通過位置 A 中的防火牆 A 進入,要麼通過位置 B 中的防火牆 B 進入,具體取決於 DNS 設置
- 每個位置都有 Web 伺服器,例如位置 A 中的 Webserver A 和位置 B 中的 Webserver B
- 這兩個位置相互連接,並且在兩個位置之間執行 VLAN
- 因此,Webserver A 和 Webserver B 在同一個 VLAN 和同一個子網中
- Webserver A 和 Webserver B 執行負載平衡,以便兩者都在積極處理通過任何一個處於活動狀態的防火牆接收到的流量
- 網路伺服器 A 和 B 只能有一個預設網關,這設置為特定於位置,例如網路伺服器 A 的預設網關是防火牆 A
防火牆是 Cisco ASA 的 Web 伺服器 W2003。
我面臨的問題是,在 Web 伺服器 A 上收到的 Web 應用程序的流量可能是通過防火牆 B 接收的,但是將預設網關設置為防火牆 A,我的理解是,簡單來說,響應永遠不會返回那些情況。
如果這種理解是正確的,那麼可以採用什麼樣的路由技術來確保流量通過它所經過的門返回?
不幸的是,源 NAT 是最簡單的選擇。在這種情況下,ASA 會將傳入連接轉換為好像它們來自其本地介面一樣。Web 伺服器將響應此本地流量。這將使您在返迴路線上完全對稱。如果您在 Web 伺服器上的日誌中跟踪流量,則需要鍵入源 IP 以外的其他內容 - 或者可能將防火牆日誌與 Web 日誌相關聯。這有點痛苦,但會(並且確實)擴展。
根據您擁有的 ASA,您還可以將它們作為主動-主動對執行。在這種情況下,他們將共享狀態並處理任何不對稱。這將需要防火牆之間的 L2 連結,並且假設兩個站點具有不同的 DMZ 空間,兩個防火牆上存在相同的外部網段。根據您配置路由的方式,這可能會非常複雜,也可能超出官方支持的範圍。如果您可以使此解決方案起作用,它將適用於兩個站點。