Pytanie : IPSEC dostęp w ASA przez drugi Połączenie z internetem

I mieć pytanie dla kabel wydawać się popularny nierozwiązany pytanie związany z Cisco ASA (5510) i wieloskładnikowy połączenie z internetem (przewoźnik eth + kabel).  

How móc I the ASA dla przylatujący związek przez the drugorzędny kablowy Połączenie z internetem (dla rzecz tak jak IPSEC VPN lub inny port opierać się dostęp)?

First, I konfigurować the statyczny trasa na the popularny Cisco artykuł http://www.cisco.com/en/US /products/hw/vpndevc/ps2030/products_configuration_example09186a00806e880b.shtml.  Ten artykuł napomykać że przylatujący związek wymagać postępowy konfiguracja ale że szczegół o ten postępowy config być postępowy.  

On VPN redundancja na przykład, I powielać wszystkie IPSEC VPN ustawianie dla the drugorzędny Internet interfejs.  Gdy I próbować VPN using the ładunek elektrostatyczny IP the wsparcie, I móc the ASA the ruch drogowy wewnątrz.

Hints od nieco powiązany pytanie na ten temat sugerować że dodatkowy numer banku protokół potrzebować, lub external obciążeniowy równoważenie serwer/usługa lub dostawianie Cisco router.  Interfejs wyraźnie wyjaśniać dlaczego the przylatujący związek równocześnie na prasmoła i drugorzędny interfejs.  Jeżeli i być ewentualny z właśnie the ASA 5510 samotnie, jaki opcja I mieć?

My ostateczny pragnienie być DNS failover dla klucz usługa taki usługa SFTP, Wymiana (443 i 25) i IPSEC VPN tak, że jeżeli the początkowy Internet linia iść puszek, początkowy usługa być inaccessible.

Thanks w postęp!
Aaron

Odpowiedź : IPSEC dostęp w ASA przez drugi Połączenie z internetem

Mój wiedza the ASA mieć the zdolność automatycznie nad IPSec być usytuowanym--być usytuowanym tunel przez niepotrzebny ISP który konfigurować jak the Cisco artykuł ty łączyć.  Cisco mieć protokół dzwonić DMVPN (Dynamiczny wielopunktowy VPN) che pozwolić ten praca, ale Cisco wspierać na the ASAs niestety.  

Teraz dla daleki VPN klient konfiguracja ono musieć ewentualny że praca prawidłowo gdy ty nie udać się the wsparcie połączenie.  Jeżeli to pracować wtedy móc ty poczta twój asenizować config?

Dlaczego ty planować DNS failover?  Ty iść usługa che wykrywać że twój prasmoła ISP być puszek i wtedy tylko wręczać tylko the wsparcie IPs?  Dla przylatujący SMTP MX rejestr z prasmoła i drugorzędny móc świetnie, ale dla inny usługa, pracować móc problemayczny.  

Jeden rozwiązanie który móc być jeden
- Mieć twój archiwista punkt DNS serwer ty administrate.  Jeden konfigurować na IP wyznaczać ISP1, the jeden na ISP2.
- Mieć tamte IPs NATed na twój zapora 2 oddzielny DNS serwer, oddzielny gościć twój internet DNS rejestr
- Konfigurować twój DNS wejście na twój serwer tak, że wręczać twój the IPs dla the specyfik ISP odnosić sie.  I.e. DNS serwer (1), NATed ISP1 Adres IP, ręka (1) IPs dla przylatujący usługa który przydzielać ISP1.  DNS serwer 2 wręczać 2 ISP2 IP liczba.
- The ISP2 DNS serwer być związek od the internet jeśli i until ISP1 nie udać się i the ASA redirects the brak brama trasa, DNS serwer 2 wtedy wręczać wtedy IPs, ale tylko dla the IPs wysyłać przez ISP2, i tak przez the pomocniczy związek.

Także I można że XroadsNetworks mieć przyrząd móc konfigurować za twój ASA i robić ten ustawianie dużo łatwy. :)