cancelar
Mostrar resultados para 
Pesquisar em vez de 
Queria dizer: 

Conheça mais sobre ASA Cluster - Webcast FAQ

 


Introdução


   


      Henrique Reis colabora na Cisco como consultor de redes no time de Advanced Services na prática de Segurança para a América Latina. Responsável pelo suporte e entrega de soluções para as principais contas da America Latina. Anteriormente, Henrique trabalhou como engenheiro de suporte (HTE - High Engenheiro Touch) para os clientes do setor Financeiro como bancos (Itaú) e bolsa de valores (BVMF) também já foi instrutor Cisco para Cisco Academy para CCNA e CCNP. Conta com as certificacoes da Cisco: Cisco Certified Internetwork Expert (CCIE R & S) # 22233 CCIE Segurança – Escrito, Formação SourceFire, CCNP Routing e Switching, CCNA Routing e Switching, Cisco Certified Associate projeto (CCDA), Cisco Certified Internetwork Expert (CCIE Segurança) em andamento, CCAI (Cisco Certified Academy Instructor) entre outras.
 
Você pode fazer o download da  apresentação em formato PDF aquí. Também pode encontrar a sessão de Pergunte ao Especialista do evento aquí.
 

 

 

 

 



Conheça mais sobre ASA Cluster

 

 

 

 

P: Se for tirando um ASA do no, terá eleição?

Entendo o termo “no” como cluster e a resposta para essa pergunta depende de qual membro for removido do cluster se for um membro apenas não tem mudança. Mas se for o Master ai nesse caso teremos uma nova eleição. Nesse caso o novo master é eleito pela prioridade configurada, se tivermos empate, ou seja mais de um ASA com a prioridade igual, ai o desempate é feito pelo Hostname e/ou pelo número de série do firewall ASA.

 

P: Tem algum guide que indica quando devo usar Cluster ou H.A ativo e standby?

R: Como são tecnologias diferentes pois o failover envolve dois firewalls ASA que não são escaláveis. Já na tecnologia cluster podemos agregar até 16 ASA Firewalls aumentando a escala da solução.
Segue um link para design do ASA Cluster:

http://www.cisco.com/c/en/us/td/docs/solutions/Enterprise/Data_Center/VMDC/ASA_Cluster/ASA_Cluster/ASA_Cluster.html#wp1417820

http://www.cisco.com/c/dam/en/us/solutions/collateral/enterprise/design-zone-security/sdc-dg.pdf

Segue também um link com guia para configuração de ASA Failover:

http://www.cisco.com/c/en/us/td/docs/security/asa/asa80/configuration/guide/conf_gd/failover.html

 

P: A replicação acontece apenas da configuração ou de atualização também? Pois quando envio um arquivo .bin para o ASA, tenho que fazer isso para as caixas e não apenas para o principal do H.A.

R: No Cluster só ocorre replicacao de configuração entre os membros do cluster. Quando precisamos fazer um upgrade na versão de software precisamos copiar a imagem (arquivo .bin) para cada membro do cluster. Mas todo o processo de comandos é feito no Master.

Segue um link para referencia:
http://www.cisco.com/c/en/us/td/docs/security/asa/asa93/upgrade/upgrade93.html#pgfId-52677

 

P: Qual a diferença entre PBR e ECMP?

R: PBR – Policy Base Routing é uma função dos roteadores para distribuir o trafego quando o mesmo entra em uma interface do roteador. PBR permite um meio flexível de roteamento de pacotes, permitindo que você configure uma política definida para os fluxos de tráfego, fazendo o bypass da tabela de roteamento. Com PBR você pode definir o next-hop de pacote ou mesmo a interface de saída do pacote.

Abaixo temos um exemplo de configuração de PBR quando o pacote vem com origem 209.165.200.225 pela interface Async 1 ele é encaminhado para 209.165.200.228 e quando vem com origem 209.165.200.226 ele é encaminhado para 209.165.200.229
!
access-list 1 permit 209.165.200.225
access-list 2 permit 209.165.200.226
!
interface async 1
 ip policy route-map equal-access
!
route-map equal-access permit 10
 match ip address 1
 set ip default next-hop 209.165.200.228
route-map equal-access permit 20
 match ip address 2
 set ip default next-hop 209.165.200.229
!
Agora ECLB ou EtherChannel Load-Balance é uma característica do switch que permite dividir o trafego em um PortChannel. Para isso temos varias opções de algoritmos para usar:
src-dst-ip  - Source and destination IP address
src-dst-port -  Source and destination port number
Você pode verificar qual algoritmo de balanceamento seu switch esta usando com o comando abaixo:

Switch1# show etherchannel load-balance
EtherChannel Load-Balancing Configuration:
        src-dst-ip

 

P: Qual o modo mais recomendado em questão de desempenho e custo de gerenciamento?

R: A Recomendação da Cisco é usar o modo Spanned seja em modo transparent ou routed pela melhor integracao com o ambiente, pela escalabilidade de se agregar as interfaces em Port-Channel o que não podemos fazer no Cluster modo Individual.

 

P: Posso definir um endereço IP estáticamente no modo individual para cada caixa?

R: Não cada membro do cluster vai pegar um IP do pool de endereços IP que você vai configurar no Master.

 

P: O que acontece caso o director caia primeiro e logo depois caia o owner?

R: Sempre temos um backup do Director. Assim se um Director falha o backup assume e se por sua vez o Owner falha o novo director vai definir um novo Owner para aquela conexão.

 

P: Como funciona o Cluster em um split brain?

R: Essa situação só se torna possível quando temos um ASA cluster em Multi-Site. Pois se os ASA estão locais, quando um ASA perde alguma interface ele mesmo sai do Cluster. Mas se temos um design Multi-Site e o Cluster Link entre os sites é interrompido ai temos o problema de split brain pois as unidades em cada site vão estar com o Control link ativo porem o Control Link entre Site-A e Site-B esta interrompido neste caso temos dois cluster separados com um Master diferente em cada site. Neste caso o maior problema serão as conexões assimétricas.

 

 

 

 

 



Informação relacionada

 

 

 

60
Apresentações
0
Útil
0
Comentários