Frage : IPSEC Zugang in ASA über zweiten Internetanschluss

Ich habe eine Frage für, was scheint, eine populäre ungelöste Frage in Bezug auf Cisco ASA (5510) und mehrfache Internetanschlüsse (Fördermaschineeth + -kabel) zu sein.  

How kann ich die ASA zusammenbauen, um Inlandsanschlüsse über den Sekundärkabel Internetanschluss zuzulassen (für Sachen wie IPSEC VPN oder anderen gegründeten Portzugang)?

First, habe ich die statischen Wege pro das populäre Cisco-Artikel http://www.cisco.com/en/US /products/hw/vpndevc/ps2030/products_configuration_example09186a00806e880b.shtml zusammengebaut.  Dieser Artikel spielt an, dass Inlandsanschlüsse vorgerückte Konfiguration erfordern, aber dass Details über diesen vorgerückten Config nicht enthalten sind.  

On VPN Redundanz zum Beispiel, habe ich alles IPSEC kopiert VPN, das für die Sekundärinternet-Schnittstelle gegründet wird.  Wenn ich versuche, VPN using das statische IP der Unterstützung jedoch zu prüfen, kann ich die ASA nicht erhalten, um den Verkehr innen zu erlauben.

Hints von ein wenig in Verbindung stehenden Fragen über dieses Thema schlagen, dass zusätzliche Wegewahlprotokolle erforderlich sind, oder externe balancierende Bediener der Last/Dienstleistungen oder Addieren eines Cisco-Fräsers vor.  Keines erklärt offenbar, wie man den Inlandsanschluß gleichzeitig auf einer Primär- und Sekundärschnittstelle erhält.  Wenn dieses nicht mit gerade der ASA 5510 alleine möglich ist, welche Wahlen habe ich?

My entscheidender Wunsch ist, DNSfailover für Schlüsseldienstleistungen solche Dienstleistungen wie SFTP, Austausch (443 und 25) und IPSEC VPN zu tun, damit, wenn die Primärinternet-Linie unten geht, Fremdleistungen nicht inaccessible.

Thanks im Voraus sind!
Aaron

Antwort : IPSEC Zugang in ASA über zweiten Internetanschluss

Meines Wissens hat die ASA nicht die Fähigkeit, über IPSec Aufstellungsort-zuaufstellungsort Tunnels durch ein überflüssiges ISP automatisch auszufallen, das wie der Cisco-Artikel zusammengebaut, den, Sie verbanden.  Cisco hat ein Protokoll, das DMVPN genannt (dynamisches Mehrpunkt-VPN) das diese Arbeit erlauben, aber das gestützt nicht auf das ASAs leider.  

Jetzt für Fern-VPN Klientenkonfiguration zu haben sollte möglich sein dass Arbeit richtig, wenn Sie vorbei zur Unterstützungsverbindung ausgefallen.  Wenn das nicht dann kann Sie Ihre sanierten Config bitte bekannt geben arbeitet?

Wie planen Sie, DNSfailover zu vollenden?  Werden Sie einen Service verwenden, der ermittelt, dass Ihr Primär-ISP unten und die Unterstützung IPS dann nur auszuteilen ist?  Für Inlands-smtp kann ein MX Record mit einem Primär- und ein zweitens adaequat sein, aber für andere Dienstleistungen, kann dieses problematisch sein.  

Eine Lösung, die arbeiten kann, ist diese
- Ihren Standesbeamtpunkt zu den DNS-Bedienern haben, die Sie ausüben.  Ein zusammengebaut auf einem IP =
, das durch ISP1, das andere auf ISP2 zugewiesen.
- Jene IPS NATed auf Ihrer Brandmauer haben, zum bis 2 verschiedene DNS-Bediener, diese zu gehen bewirten Ihre Aufzeichnungen des Internets DNS
- Ihre DNS-Eintragungen auf jedem Bediener zusammenbauen, damit sie die IPS für das spezifische ISP austeilen, das sie mit zusammenhängen.  D.h. austeilt DNS-Bediener 1, NATed zum IP address ISP1, IPS für Inlandsdienstleistungen ps, die durch ISP1 zugeteilt.  DNS-Bediener 2 austeilt Zahlen IP-ISP2 lt.
- Der Bediener DNS-ISP2 ist vom Internet, es sei denn und bis ISP1 ausfällt und die ASA den Rückstellungszugangsweg umadressiert, DNS-Bediener 2 dann IPS austeilt, aber nur non-accessible, damit die IPS durch ISP2 verlegt werden kann und folglich durch den Unterstützungsanschluß.

Auch ich konnte unterstreichen, dass XroadsNetworks eine Vorrichtung kann hinter Ihrer ASA zusammengebaut werden und bildet diese Einstellung viel einfacher hat. :)