双思科路由器状态防火墙

在我的公司,我们有一个运行BGP和2个ISP的单个Cisco 3925sec / k9路由器。 现在我们要购买相同型号的冗余路由器来消除单点故障。

我可以在路由器和ISP之间build立BGP没有问题。 我们计划通过ISP A发送所有stream量,并通过ISP B接收所有stream量(ISP只向我们发送默认网关,我们可以使用as-prepends和local_pref属性)。 在这里输入图像说明

所以我的问题是,什么是最好的解决scheme,以确保我在两个路由器同时保持静态NAT和有状态防火墙规则(而不是ZBF)的状态? 同样,我希望stream量通过ISP A离开,并通过ISP B返回。

有没有可能,或者您认为购买一对带有主动/主动支持的ASA 5500系列,并对其进行NAT和检查会更好?

  • 在没有端口转发的情况下在防火墙后暴露Web服务器
  • VMWare联网模式(NAT或桥接)?
  • 经纪人直接连接
  • IPv6没有NAT,但是一个ISP变化呢?
  • 在具有IPv6和FQDN的不同服务器上运行多个服务
  • IPTables内部负载平衡
  • One Solution collect form web for “双思科路由器状态防火墙”

    我很好奇,为什么你会有意地迫使像这样的非对称路由? 为此,大多数解决scheme都是基于使用HSRP跟踪来确定哪个路由器正在主动处理NAT /防火墙规则,同时假定相同的路由器同时看到出口和入口stream量。 让我试试你build议的路由,看看备用路由器是否真正为主动路由器发起的请求提供服务。

    与此同时,您想要的function在IOS中绝对可用。 一个ASA对将会更多地被devise来做你想要的,但是取决于你需要多less控制来满足规则IOS可能适合这个账单。

    像这样的东西应该工作来跟踪你的NAT状态。 这是来自CCIE的一家研究机构,但解释得很好。

    另请参阅Cisco有关IOS防火墙状态故障切换的文档。 神奇的命令是…

    (config-if) ip inspect <cbac-name> {in | out} redundancy stateful <hsrp-name> 

    编辑:我已经在GNS3实验了,结果是混杂的包。 简单的答案是,NAT将正常工作。 CBAC,但是,不会。

    您可以使用冗余NAT在两台路由器之间共享状态,允许在“出口”路由器上创build的状态在“入口”路由器上创build相等的状态。 这些州是积极的,并会正常工作。

     ip nat Stateful id <unique-router-num> redundancy <hsrp-name> mapping-id <mapping-id> ip nat inside source list <acl> pool <pool> mapping-id <mapping-id> overload 

    但是,CBAC将certificate更多的问题。 您可以在两台路由器之间设置IPC,并让它们共享状态。

     redundancy inter-device scheme standby <hsrp-name> <reboot required> ipc zone default association 1 //only 1 is supported protocol sctp local-port <port-num> local-ip <my-ip> remote-port <port-num> remote-ip <my-ip> interface <WAN interface> ip access-group <acl> in ip inspect <inspect-name> out redundancy stateful <hsrp-name> 

    这个方法的一些主要问题虽然…

    • 状态在设备之间共享,但只在HSRP活动设备上激活
    • 当故障转移发生时,旧的活动设备FORCES A RELOAD

    所以,是的,CBAC确实支持一些冗余,但是对于你的情况来说是没用的。 当然你不能做ZBF? 基于区域的策略防火墙高可用性@ Cisco.com

    我仍然好奇,为什么你需要这种强制不对称的路由,因为这是阻止你使用CBAC。

    服务器问题集锦,包括 Linux(Ubuntu, Centos,Debian等)和Windows Server服务器.