Вопрос : Доступ IPSEC в ASA через вторую интернет-связь

Я имею вопрос для кажется, что будет популярным неразрешённый вопросом касаясь Cisco ASA (5510) и множественных интернет-связей (eth + кабеля несущей).  

How может я установить ASA к прибавлять на прибывающие соединения через вторичную интернет-связь кабеля (для вещей как IPSEC VPN или другой port основанный доступ)?

First, я устанавливал статические трассы согласно с популярное rel= " nofollow " " _blank " " target= " http://www.cisco.com/en/US/products/hw/vpndevc/ps2030/products_configuration_example09186a00806e880b.shtml href= /products/hw/vpndevc/ps2030/products_configuration_example09186a00806e880b.shtml http://www.cisco.com/en/US.  Эта статья намекает что прибывающие соединения требуют предварительной конфигурации но что детали о этом предварительном config не включенны.  дублирование

On VPN например, я дублировал все IPSEC VPN setup для вторичной поверхности стыка интернета.  Когда я пытаюсь испытать VPN using статический IP подпорки однако, я не могу получить, что ASA позволил движение внутри.

Hints от несколько родственных вопросов на этой теме предлагает что дополнительные протоколы трассы необходимы, или внешние серверы нагрузки балансируя/обслуживания или добавлять маршрутизатор Cisco.  Никакое ясно объясняет как получить прибывающее соединение одновременно и на первичной и вторичной поверхности стыка.  Если это не по возможности с как раз ASA 5510 самостоятельно, то что варианты я имею? желание

My предельное должно сделать failover DNS для ключевых обслуживаний такие обслуживания как SFTP, обмен (443 и 25) и IPSEC VPN так как если главным образом линия интернета идет вниз, то внешними обслуживаниями не будут inaccessible.

Thanks заранее!
Aaron

class=

Ответ : Доступ IPSEC в ASA через вторую интернет-связь

К моему знанию ASA не имеет способность автоматически потерпеть неудачу над тоннелями мест-к-места IPSec до резервный ISP установлен как статья Cisco, котор вы соединили.  Cisco имеет вызванный протокол DMVPN (динамическим многопунктовым VPN) позволило бы эту работу, но то не поддержано на ASAs несчастливо.  

Теперь для дистанционной конфигурации клиента VPN должно быть по возможности иметь что работа правильно когда вы терпели неудачу сверх к резервному соединению.  Если то не работает после этого может вы пожалуйста вывесить ваши санированные config?

Как вы планируете выполнить failover DNS?  Вы идете использовать обслуживание обнаружит что ваш главным образом ISP вниз и после этого только вручить вне подпорку IPs?  Для прибывающего SMTP показатель MX с первичным и вторично может работать отлично, но для других обслуживаний, это может быть проблемно.  

Одно разрешение может работать это
- Имейте ваш пункт регистраторшы к серверам DNS, котор вы administrate.  Одно установлено на IP заданном ISP1, другом на ISP2.
- Имейте те IPs NATed на вашем брандмауэре, котор нужно пойти до 2 отдельно сервера DNS, эти хозяйничайте ваши показатели DNS интернета
- Установите ваши входы DNS на каждый сервера так, что они вручат вне IPs для специфически ISP, котор они отнесен к.  Т.е. сервер DNS 1, NATed к адресу IP ISP1, рукам вне IPs для прибывающих обслуживаний которые размещаны ISP1.  Сервер DNS 2 вручает вне номера IP ISP2.
- Сервер ISP2 DNS будет non-accessible от интернета если и до тех пор пока ISP1 не потерпеть неудачу и ASA перенаправляет трассу входного невыполнения обязательства, сервер DNS 2 после этого вручит вне IPs, но только для IPs, котор нужно направить через ISP2, и таким образом через резервное соединение.

Также я мог указать вне что XroadsNetworks имеет приспособление можно установить за вашим ASA и делает эту установку много более легким. :)