Vraag : Toegang IPSEC in ASA via de tweede verbinding van Internet

Ik heb een vraag voor wat een populaire onopgeloste vraag met betrekking tot Cisco ASA (5510) en veelvoudige Internet verbindingen (drager eth + kabel) schijnt te zijn.  

How kan ik ASA om voor binnenkomende verbindingen via de secundaire toe te staan vormen verbinding van kabelInternet (voor dingen zoals IPSEC VPN of andere haven gebaseerde toegang)?

First, heb ik de statische routes per het artikel http://www.cisco.com/en/US /products/hw/vpndevc/ps2030/products_configuration_example09186a00806e880b.shtml gevormd.  Dit artikel laat doorschemeren dat de binnenkomende verbindingen geavanceerde configuratie vereisen maar dat de details over geavanceerd dit config niet inbegrepen zijn.  

On VPN overtolligheid bijvoorbeeld, heb ik al opstelling IPSEC VPN voor de secundaire interface van Internet gedupliceerd.  Wanneer ik probeer om VPN te testen gebruikend statische IP van de file nochtans, kan ik niet ASA ertoe brengen om het verkeer binnen toe te staan.

Hints van enigszins verwante vragen over dit onderwerp stelt voor dat de extra verpletterende protocollen nodig, of externe ladings in evenwicht brengende servers/de diensten of het toevoegen van een router van Cisco zijn.  Niets verklaart duidelijk hoe te om de binnenkomende verbinding op zowel een primaire als secundaire interface gelijktijdig te worden.  Als dit niet alleen mogelijk met enkel ASA 5510 is, welke opties heb ik? />My de uiteindelijke wens


Thanks zullen zijn!
Aaron

Antwoord : Toegang IPSEC in ASA via de tweede verbinding van Internet

Aan mijn kennis heeft ASA niet de capaciteit automatisch om over plaats-aan-plaats IPSec tunnels door overtollige ISP te ontbreken die als het artikel wordt gevormd van Cisco u verbond.  Cisco heeft een protocol genoemd DMVPN (Dynamische VPN met meerdere balies) die dit werk zou toestaan, maar dat niet op ASAs jammer genoeg wordt gesteund.  

Nu voor verre VPN cliëntconfiguratie zou het mogelijk moeten zijn om dat werk correct te hebben wanneer u over aan de reserveverbinding hebt ontbroken.  Als dat niet dan werkt kunt u gezuiverd uw config alstublieft posten?

Hoe bent u van plan om DNS failover te verwezenlijken?  Bent u gaand gebruik de dienst die zal ontdekken dat uw primaire ISP neer en dan slechts reserveIPs wordt uitgedeeld?  Voor binnenkomende SMTP kan een MX verslag met primair en secundair boete werken, maar voor andere diensten, kan dit problematisch zijn.  

Één oplossing die kan werken is dit
- Hebben uw archivarispunt aan DNS servers u beheert.  wordt op IP gevormd door ISP1, andere die op ISP2 wordt toegewezen.
- Hebben die IPs NATed op uw firewall om naar 2 afzonderlijke DNS servers, deze te gaan gastheer uw Internet DNS verslagen
- Vorm uw DNS ingangen op elke server zodat zij IPs voor specifieke ISP uitdelen zij met verwant zijn.  D.w.z. DNS deelt server 1, NATed aan ISP1 IP adres, IPs voor de binnenkomende diensten uit die door ISP1 worden toegewezen.  DNS server 2 deelt ISP2 IP aantallen uit.
- De ISP2 DNS server zal van Internet tenzij en tot ISP1 ontbreekt en ASA de standaardgatewayroute opnieuw richt niettoegankelijk zijn, DNS deelt server 2 dan IPs, maar slechts voor IPs dat door ISP2 moet worden verpletterd, en zo door de reserveverbinding uit.

Ook zou ik kunnen erop wijzen dat XroadsNetworks een apparaat kan achter uw ASA worden gevormd en gemakkelijker maakt deze opstelling een heeft. :)
Andere oplossingen  
 
programming4us programming4us