Cuestión : Acceso de IPSEC en el ASA vía la segunda conexión a internet

Tengo una pregunta para qué parece ser una pregunta sin resolver popular referente a Cisco ASA (5510) y conexiones a internet múltiples (eth + cable del portador).  ¿el

How puede yo configurar el ASA para permitir conexiones de entrada vía la conexión a internet secundaria del cable (para las cosas tales como IPSEC EL VPN o el otro acceso basado portuario)? el

First, he configurado las rutas estáticas por el rel= popular " nofollow " del " _blank " del target= de " http://www.cisco.com/en/US/products/hw/vpndevc/ps2030/products_configuration_example09186a00806e880b.shtml " del href= del el /products/hw/vpndevc/ps2030/products_configuration_example09186a00806e880b.shtml de http://www.cisco.com/en/US.  Este artículo hace alusión que las conexiones de entrada requieren la configuración avanzada pero que los detalles sobre este config avanzado no sean incluidos.  redundancia del

On VPN por ejemplo, he duplicado todo el IPSEC VPN fijado para el interfaz secundario del Internet.  Cuando intento probar VPN usar el IP estático del respaldo sin embargo, no puedo conseguir el ASA para permitir el tráfico adentro. el

Hints de preguntas algo relacionadas sobre este asunto sugiere que los protocolos adicionales de la encaminamiento sean necesarios, o los servidores externos del equilibrio de carga/los servicios o adición de un ranurador de Cisco.  Ninguno explica claramente cómo conseguir la conexión de entrada simultáneamente en un interfaz primario y secundario.  ¿Si esto no es posible con apenas el ASA 5510 solamente, qué opciones tengo? ¡el último deseo del

My es hacer el failover del DNS para los servicios dominantes los servicios tales como SFTP, el intercambio (443 y 25) e IPSEC VPN de modo que si va la línea primaria del Internet abajo, los servicios exteriores no sean inaccessible.

Thanks por adelantado!
Aaron

class= del

Respuesta : Acceso de IPSEC en el ASA vía la segunda conexión a internet

A mi conocimiento el ASA no tiene la capacidad de fallar automáticamente sobre los túneles del sitio-a-sitio de IPSec a través de una ISP redundante que se configure como el artículo de Cisco que usted ligó.  Cisco tiene un protocolo llamado DMVPN (VPN de múltiples puntos dinámico) que permitiría este trabajo, pero eso no se apoya en el ASAs desafortunadamente.  

Ahora para la configuración de cliente alejada de VPN debe ser posible tener que trabajo correctamente cuando usted ha fallado encima al acoplamiento de reserva.  ¿Si eso entonces no está trabajando puede usted fijar por favor sus config esterilizados?

¿Cómo usted planea lograr failover del DNS?  ¿Usted va a utilizar un servicio que detecte que su ISP primaria está abajo y entonces repartir solamente el respaldo IPS?  Para el smtp de entrada un MX Record con un primario y secundario puede trabajar muy bien, pero para otros servicios, éste puede ser problemático.  

Una solución que puede trabajar es ésta
- Tener su punto del secretario a los servidores de DNS que usted administra.  Uno se configura en un IP asignado por ISP1, el otro en ISP2.
- Tener esos IPS NATed en su cortafuego a ir a 2 servidores de DNS separados, éstos reciben sus expedientes del DNS del Internet
- Configurar sus entradas del DNS en cada servidor de modo que repartan el IPS para la ISP específica que se relacionan con.  Es decir el servidor de DNS 1, NATed al IP address ISP1, reparte el IPS para los servicios de entrada que son asignados por ISP1.  El servidor de DNS 2 reparte números del IP ISP2.
- El servidor de ISP2 DNS será sin acceso del Internet a menos que y hasta que ISP1 falle y el ASA vuelve a dirigir la ruta de la entrada de defecto, el servidor de DNS 2 entonces reparte el IPS, pero solamente para que el IPS sea encaminado con ISP2, y así a través de la conexión de reserva.

También puede ser que precise que XroadsNetworks tiene un dispositivo se puede configurar detrás de su ASA y hace esta disposición mucho más fácil. :)