Question : Accès d'IPSEC dans l'asa par l'intermédiaire de la deuxième connexion internet

J'ai une question pour ce qui semble être une question non définie populaire concernant Cisco asa (5510) et connexions internet multiples (eth + câble de porteur).  le

How peut je configurer l'asa pour tenir compte des raccordements d'arrivée par l'intermédiaire de la connexion internet secondaire de câble (pour des choses telles qu'IPSEC VPN ou tout autre accès basé gauche) ? le

First, j'ai configuré les itinéraires statiques par rel= populaire " nofollow " de " _blank " de target= de " http://www.cisco.com/en/US/products/hw/vpndevc/ps2030/products_configuration_example09186a00806e880b.shtml " de href= de le /products/hw/vpndevc/ps2030/products_configuration_example09186a00806e880b.shtml de http://www.cisco.com/en/US.  Cet article laisse entendre que les raccordements d'arrivée exigent la configuration avancée mais que les détails au sujet de cette config avancée ne sont pas inclus.  redondance du

On VPN par exemple, j'ai reproduit tout l'IPSEC VPN installé pour l'interface secondaire d'Internet.  Quand j'essaye d'examiner VPN using l'IP statique du support cependant, je ne peux pas obtenir l'asa pour permettre le trafic dedans. le

Hints des questions légèrement relatives sur cette matière suggèrent que les protocoles additionnels de cheminement soient nécessaires, ou les serveurs externes d'équilibrage de la charge/services ou ajouter un routeur de Cisco.  Aucun n'explique clairement comment obtenir le raccordement d'arrivée simultanément sur une interface primaire et secondaire.  Si ce seul n'est pas possible avec juste l'asa 5510, quelles options ai-je ? le désir final du

My est de faire le failover de DNS pour les services principaux des services tels que SFTP, échange (443 et 25) et IPSEC VPN de sorte que si la ligne primaire d'Internet descend, les services extérieurs ne soient pas inaccessible.

Thanks à l'avance !
Aaron

class= de

Réponse : Accès d'IPSEC dans l'asa par l'intermédiaire de la deuxième connexion internet

À ma connaissance l'asa n'a pas la capacité d'échouer automatiquement au-dessus des tunnels d'emplacement-à-emplacement d'IPSec par une ISP superflue qui est configurée comme l'article de Cisco que vous avez lié.  Cisco a un protocole appelé le DMVPN (VPN multipoint dynamique) qui permettrait ce travail, mais cela n'est pas soutenu sur l'ASAs malheureusement.  

Maintenant pour la configuration de client à distance de VPN il devrait être possible d'avoir que travail correctement quand vous avez échoué plus d'au lien de secours.  Si cela ne fonctionne pas alors peut vous svp signaler vos config aseptisées ?

Comment prévoyez-vous d'accomplir le failover de DNS ?  Allez-vous employer un service qui détectera que votre ISP primaire est vers le bas et distribuer alors seulement le support IPS ?  Pour le smtp d'arrivée un MX Record avec un primaire et secondaire peut fonctionner très bien, mais pour d'autres services, ceci peut être problématique.  

Une solution qui peut fonctionner est ceci
- Avoir votre point de conservateur aux serveurs de DNS que vous administrez.  Un est configuré sur un IP assigné par ISP1, l'autre sur ISP2.
- Avoir ces IPS NATed sur votre mur à l'épreuve du feu à aller à 2 serveurs de DNS séparés, ceux-ci accueillent vos disques de l'Internet DNS
- Configurer vos entrées de DNS sur chaque serveur de sorte qu'ils distribuent l'IPS pour l'ISP spécifique qu'ils sont liés à.  C.-à-d. le serveur de DNS 1, NATed à l'IP address ISP1, distribue l'IPS pour les services d'arrivée qui sont assignés par ISP1.  Le serveur de DNS 2 distribue des nombres d'IP ISP2.
- Le serveur de DNS ISP2 sera inaccessible de l'Internet à moins qu'et jusqu'à ce qu'ISP1 échoue et l'asa réoriente l'itinéraire de passage de défaut, le serveur de DNS 2 distribue alors l'IPS, mais seulement l'IPS à conduire par ISP2, et ainsi par le raccordement de secours.

Également je pourrais préciser que XroadsNetworks a un dispositif peut être configuré derrière votre asa et facilite cette installation beaucoup. :)