bigtank
Goto Top

ASA, VLAN und Trunking

Hallo

Wir haben zwei ASA's 5520 redundatn im Betrieb.

Nun wollen wir noch eine Dritte ASA 5520 hinter den ersten ASA Cluster in Serie schalten.
Das heisst jeweils ein Interface der beiden redundanten ASA's sollen an die dritte ASA
angeschlossen werden und zwar so, dass wenn der Master der redundaten ASA's
ausfällt der Verkehr automatisch über die andere Leitung tranferiert werden kann.

97624e81744c528746d57d3fe9d6f069-asa-config

Ist sowas überhaupt möglich?

Danke und Lieber Gruss

Content-Key: 97552

Url: https://administrator.de/contentid/97552

Ausgedruckt am: 29.03.2024 um 11:03 Uhr

Mitglied: brammer
brammer 22.09.2008 um 21:04:55 Uhr
Goto Top
Hallo,

ob es geht oder nicht ist vollkommen uninteressant, es bringt nichts!
Du willst eine Redundanz erzeugen hast aber bei deiner Zeichnung drei weitere Single Point of Failures.
Von oben nach unten:
Wenn die Internet Verbindung wegbricht geht nur noch dein Intranet.
Wenn der obere Switch wegbricht geht nur noch dein Intranet.
Wenn die ASA 3 wegbricht geht gar nichts mehr!

Wenn du eine Redundanz erreichen willst solltest du dir einen zweiten Provider überlegen und eine Back Up Anbindung aufbauen.
Der obere Switch muss dann auch Redundant ausgelegt werden.
Die Verbindungen zwischen ASA 3 und ASA 1 bzw. ASA 2 und ASA 3 werden so auch nicht funktionieren. Meines Wissens nach geht eine Trunk Verbindung zu 2 Zielen nicht!
Und eine VLAN Konfiguration würde dazu führen das nur VLAN 555 (gemäß deiner Vorgabe) durch geschleust wird.
Alle anderen VLANs blieben außen vor es sei den du lässt zu das VLAN 555 alle anderen VLANs durchschickt womit es zum quasi Trunk wird.

Passend zu deinem Problem sollte sowas wie HSRP oder VRRP für dich ein Thema sein.

brammer
Mitglied: bigtank
bigtank 22.09.2008 um 22:18:00 Uhr
Goto Top
Hallo

Danke für das Feedback.

Diese Zeichnung ist nicht so wie es wirklich aussieht.
Die ASA 3 ist lediglich nur für Managementaufgaben gedacht.

Das Datenservernetzwerk ist nochmal and den ASA's (redundante ASA) mit jeweils einer Leitung an jeweils einen Switch gezogen und dann werden die Server (2 nic) mit LACP und den Switchen verbunden.

Die ASA 3 ist einfach ein zusätzliches Netzwerk über dies wir ein Managementnetz betreiben. Das muss nicht redundant sein. Aber wenn eben eine der redundanten ASA's ausfällt, dass wäre es gut, wenn dann die ASA3 immer noch erreichbar wäre... Wenn die ASA3 ausfällt. Na dann ist diese dann eben tot. Dann haben wir noch die eine andere Möglichkeit.

Meine Frage ist somit nur; kann ich eine ASA an zwei andere, redundate ASA's so verbinden wie in der Skizze beschrieben. Wenn eine der redundanten ASA's ausfällt kann ich immer noch auf die ASA3 zugreifen??? Geht das?

Verstehst du was ich meine? Es manchmal schwer sind korrekt auszudrücken face-smile

Danke