Dos Cisco ASA 5525-X como puertas de enlace de Internet sin capa 2

Agregue otra razón para odiar a NAT a la lista. Estoy sacando dos puntos de salida de Internet en nuestra red corporativa. Los dispositivos de borde serán firewalls ASA 5525-X. Tradicionalmente, los pondría en algún tipo de clúster, pero esto requiere conectividad L2. Dado que estos dispositivos estarán en partes separadas de mi red, la conectividad L2 no es una opción fácil.

Mi solución actual es traerlos a ambos como firewalls independientes y anunciar una ruta predeterminada de cada uno. Cualquier ECMP debe tener el mismo hash para cada flujo y empujarlo hacia el firewall de salida "correcto".

Mi pregunta es esta:

1. ¿Hay alguna manera de agrupar dos ASA sin necesidad de un enlace L2?
2. Quiero un segundo / tercer / cien pares de ojos en mi solución actual, suponiendo que "No" es la respuesta al # 1.

Creo que tienes dos opciones:

1. Designe un circuito de Internet como primario y el otro como conmutación por error
2. Implemente el enrutamiento "NAT exterior" (espacio público) entre los sitios con los firewalls

La primera opción garantiza que el tráfico siempre atraviese un firewall u otro para que NAT no se rompa.

La segunda opción le permite equilibrar la carga en ambos circuitos: una ruta predeterminada de igual costo desde cada circuito, con sus prefijos públicos locales anunciados en ambos circuitos. (Esta opción ignora cómo se logra la conectividad entre los sitios).

No tengo mucha experiencia con ASA, por lo que realmente no puedo responder la pregunta # 1.

Sin embargo, tenga cuidado con sus suposiciones sobre ECMP. Diferentes equipos manejan ECMP de manera diferente. He visto implementaciones de ECMP desde la granularidad del equilibrio de carga "por prefijo de destino" (que casi no es ECMP en absoluto) hasta el equilibrio de carga "por paquete".

Tendrá que ser un poco más sofisticado con su manejo de enrutamiento para que esto funcione. Busque la información de interconexión DCI que ioshints ha publicado, que debería ayudarlo a descubrir cómo podría diseñar su red para manejar esto. Lo siento, no tengo una URL cerca de esto.

Personalmente, ni siquiera consideraría la agrupación a larga distancia. Creo que la recomendación de Cisco es la conexión directa por cable. El ECMP puede funcionar, pero es vital hacerlo por destino (el AFAIK predeterminado de Cisco) y no por paquete. Considere el impacto en una transferencia ftp pasiva que requiere conexiones salientes duales.