Questione : Accesso di IPSEC in asa via secondo collegamento a Internet

Ho una domanda per che cosa sembra essere una domanda insoluta popolare per quanto riguarda Cisco asa (5510) e collegamenti a Internet multipli (eth + cavo dell'elemento portante).  il

How può io configurare l'asa per tenere conto i collegamenti in arrivo via il collegamento a Internet secondario del cavo (per le cose quale IPSEC VPN o l'altro accesso basato port)?

First, ho configurato gli itinerari statici per rel= popolare " nofollow " " del _blank " " del target= " di http://www.cisco.com/en/US/products/hw/vpndevc/ps2030/products_configuration_example09186a00806e880b.shtml del href= di /products/hw/vpndevc/ps2030/products_configuration_example09186a00806e880b.shtml di http://www.cisco.com/en/US.  Questo articolo suggerisce che i collegamenti in arrivo richiedono la configurazione avanzata ma che i particolari circa questo config avanzato non siano inclusi.  la sovrabbondanza del

On VPN per esempio, ho duplicato tutto il IPSEC VPN installato per l'interfaccia secondaria del Internet.  Quando provo a provare VPN using il IP statico del sostegno tuttavia, non posso convincere l'asa per permettere il traffico dentro. il

Hints dalle domande piuttosto relative su questo soggetto suggerisce che i protocolli supplementari di percorso siano necessari, o assistenti esterni di equilibratura di carico/servizi o aggiungere un router di Cisco.  Nessuno spiega chiaramente come ottenere simultaneamente il collegamento in arrivo sia su un'interfaccia primaria che secondaria.  Se questo non è possibile con appena l'asa 5510 da solo, che opzioni ho? l'ultimo desiderio del

My è di fare il failover di DNS per i servizi chiave tali servizi come SFTP, lo scambio (443 e 25) e IPSEC VPN in modo che se la linea primaria del Internet va giù, i servizi esterni non siano in anticipo inaccessible.

Thanks!
Aaron

class= del

Risposta : Accesso di IPSEC in asa via secondo collegamento a Internet

Per quanto sappia l'asa non ha la capacità di venire a mancare automaticamente sopra i trafori del luogo--luogo di IPSec tramite un ISP ridondante che è configurato come l'articolo che di Cisco avete collegato.  Cisco ha un protocollo denominato DMVPN (VPN multipunto dinamico) che permetterebbe questo lavoro, ma quello non è sostenuto sul ASAs purtroppo.  

Ora per la configurazione di cliente a distanza di VPN dovrebbe essere possibile da avere che lavoro correttamente quando siete venuto a mancare sopra al collegamento di sostegno.  Se quello allora non stia funzionando può voi inviare prego i vostri config sterilizzati?

Come progettate di compire il failover di DNS?  State andando usare un servizio che rileverà che il vostro ISP primario è giù ed allora distribuire soltanto il sostegno IPS?  Per lo smtp in arrivo un MX Record con un primario e secondario può funzionare benissimo, ma per altri servizi, questo può essere problematico.  

Una soluzione che può funzionare è questa
- Avere vostro punto dell'Ufficiale di stato civile agli assistenti che di DNS amministrate.  Uno è configurato su un IP assegnato da ISP1, l'altro su ISP2.
- Avere quegli IPS NATed sulla vostra parete refrattaria da andare a 2 assistenti di DNS separati, questi ospitano le vostre annotazioni di DNS del Internet
- Configurare le vostre entrate di DNS su ogni assistente in modo che distribuiscano l'IPS per l'ISP che di specific sono collegati con.  Cioè l'assistente di DNS 1, NATed al IP address ISP1, distribuisce l'IPS per i servizi in arrivo che sono assegnati da ISP1.  L'assistente di DNS 2 distribuisce i numeri del IP ISP2.
- L'assistente di ISP2 DNS sarà non-accessible dal Internet a meno che e fino a che ISP1 non venga a mancare e l'asa riorienti l'itinerario dell'ingresso di difetto, assistente di DNS 2 allora distribuisce l'IPS, ma soltanto affinchè l'IPS sia diretto con ISP2 e così attraverso il collegamento di sostegno.

Inoltre potrei precisare che XroadsNetworks ha un dispositivo può essere configurato dietro la vostra asa e rende questa messa a punto mólto più facile. :)