ASA 5510 active/avtive

[fu123]

Hi,

hab gerade mal ne Frage., weil ich nicht der große ASA Spezi bin.

Ich soll eine Failover active/active Konfiguration mit vier 5510 machen Version 7.2(2).

Zwei Standleitungen mit jeweils VLANs drauf. Die VLANs sollen auf den ASA's terminieren.

Frage für mich jetzt mal gleich an der Stelle, wie kann man das umsetzten?

Kann die ASA trunken? Die ASA's müssen untereinander über eine Leitung verbunden werden?

Die Site to Site VPN Tunnel lassen sich sicherlich über das Applet konfigurieren.

Muss man das erst noch registrieren oder kann man gleich loslegen? Irgendwas auf das man besonders achten sollte?


Fu

[hegl]

Active/Active geht meines Wissens nach erst mit der 5520 und dann aber auch "nur" mit zweien. (wie soll das mit 4 Stück gehen???)

Die ASA kann trunken und die Failover-Scenario kannst Du komplett über VLANs abwickeln.

Site-to-Site geht am einfachsten über den ADSM.

Registrieren, wofür? 3DES/AES ist enthalten.

ASA Series

[fu123]

Hi,

in deiner Tabelle steht sogar das die es kann. Ist im Sec Plus enthalten.

Also Hintergrund, zwei Standleitungen und jeweils zwei Firewalls auf einer Seite.

Dann beide sollen gleichzeitig benutzt werden und im Failover eingesetzt werden.

Ich habe das Szenario schon gesehen. Ist von der Umsetzung nicht so einfach.
Meld mich vielleicht noch mal, wenn ich mehr im Thema bin.
Bin mir noch nicht ganz klar wie das letztendlich auch in der Hardwareconfig aussehen soll. Such noch nach einem Link.

Fu

[fu123]

Configuring ASA and PIX Security Appliances - Training Resources - Cisco Systems

Hier steht was Nettes. Mit Flashanimationen zu verschiedenen Themen.

[fu123]

Ich hab das mit den unterschiedlichen Kontexten noch nicht verstanden?
Ist das wie bei HSRP? Das beide ein Gateway zur Verfügung stellen und dann z.B. abwechselnd auf ARP Requests antworten, wenn beide Active/Active sind?

Fu

[hegl]

Zitat von fu123 Ich hab das mit den unterschiedlichen Kontexten noch nicht verstanden? Ist das wie bei HSRP? Das beide ein Gateway zur Verfügung stellen und dann z.B. abwechselnd auf ARP Requests antworten, wenn beide Active/Active sind? Fu

Ich hab´s bis jetzt auch nur einmal im Kurs gemacht. Bei meiner config bin ich noch nicht so weit und deshalb auch nicht so im Thema.

Mit der 5510 Security Plus hast Du recht, solange Du die Version 8 einsetzt. Mit 7.X gabs nur active/standby.

[fu123]

Zitat von hegl Ich hab´s bis jetzt auch nur einmal im Kurs gemacht. Bei meiner config bin ich noch nicht so weit und deshalb auch nicht so im Thema. Mit der 5510 Security Plus hast Du recht, solange Du die Version 8 einsetzt. Mit 7.X gabs nur active/standby.

Ne, 7.2(2) kann das auch.

Cisco Security Appliance Command Line Configuration Guide, Version 7.2 - Sample Configurations* [Cisco ASA 5500 Series Adaptive Security Appliances] - Cisco Systems


Fu

[hegl]

Zitat von fu123 Ne, 7.2(2) kann das auch. Fu

Hast gewonnen

[fu123]

Hi,

hat den jemand mal einen Tip zu Kontexten? Am besten mal etws Hintergrund zur Implementation.

Fu

[fu123]

Zur Info: Active/Active Konfig mit VPN (IPSec) geht nicht. Also die Ausgangsvorausetzung wird nicht erfüllt. Ein wichtiger Punkt. Active/Active ist nur im Multiple Context möglich und dann geht kein VPN. Also nur als Active/Standby möglich. Somitist eine Router Lösung mit VPN und z.B. OSPF besser.


Fu