Agregue otra razón para odiar a NAT a la lista. Estoy sacando dos puntos de salida de Internet en nuestra red corporativa. Los dispositivos de borde serán firewalls ASA 5525-X. Tradicionalmente, los pondría en algún tipo de clúster, pero esto requiere conectividad L2. Dado que estos dispositivos estarán en partes separadas de mi red, la conectividad L2 no es una opción fácil.
Mi solución actual es traerlos a ambos como firewalls independientes y anunciar una ruta predeterminada de cada uno. Cualquier ECMP debe tener el mismo hash para cada flujo y empujarlo hacia el firewall de salida "correcto".
Mi pregunta es esta:
- ¿Hay alguna manera de agrupar dos ASA sin necesidad de un enlace L2?
- Quiero un segundo / tercer / cien pares de ojos en mi solución actual, suponiendo que "No" es la respuesta al # 1.