richidd Geschrieben 8. Juli 2009 Teilen Geschrieben 8. Juli 2009 Hi@all, ich hoffe Ihr könnt mir helfen. ch habe auch schon die SUFU benutzt aber keinen Lösungsansatz finden können der mir helfen könnte Wir haben eine ASA5510 und ich möchte 2 Internetleitungen mit der ASA benutzen. Da wir keine Fail-Over Lizenz besitzen muss die Lösung ein wenig tricky sein. Leider weiss ich auch nicht ob und wie man mit der ASA Load-Balancing einsetzen kann. Inet 1 - Standleitung für alle wichtigen Dienste ausser HTTP/S (TCP/80-443) Inet 2 - ADSL-Leitung für HTTP/S (TCP/80-443) Verbindungen Inet 1 wird über das Outside Interface angesprochen. Für dieses Interface ist eine Static Route eingerichtet: IP-Adress und Mask 0.0.0.0 DF-Gateway: 192.168.0.1 Metric 1 Da alle anderen physischen Interfaces belegt sind wird der ADSL-Router für die Inet 2 mit einem VLAN-Interface an die ASA angebunden. Dieses Interface soll ebenfalls eine static Route erhalten: IP-Adress und Mask 0.0.0.0 DF-Gateway: 192.168.1.1 Metric 2 Damit ausschließlich Inet2 für HTTP/S benutzt wird möchte ich den TCP/80-443 Port mit den Access Rules für Inet1 (Outside Interface) sperren. Kann das funktionieren? Ich habe bedenken, dass bei ausgehenden HTTP/S-Traffic die Access Rule mit deny reagiert und danach nicht automatisch versucht wird über das VLAN-Interface mit der Metric 2, für die HTTP/S erlaubt ist, die Verbindung zu routen. Über alternative Vorschläge/Lösungen wäre ich auch sehr dankbar. Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
flashpixx Geschrieben 8. Juli 2009 Teilen Geschrieben 8. Juli 2009 Da wir keine Fail-Over Lizenz besitzen muss die Lösung ein wenig tricky sein. Ich will da meine Bedenken äußern, dass Dein Vorhaben gegen die Lizenzbedingungen verstoßen könnte Phil Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Crash2001 Geschrieben 9. Juli 2009 Teilen Geschrieben 9. Juli 2009 Was für eine Lizenz hast du denn da drauf? Eine Security Plus kanns ja nicht sein, weil dann Failover gehen würde, wenn ich das richtig in Erinnerung habe. Wenns keine Security Plus-Lizenz ist, dann bleibt dir noch der folgende Weg: Was du machen könntest, ist es wie bei einer PIX zu machen und einfach einen Router hinter die ASA zu hängen, der dann das Load-Balancing macht. Default Gateway ist dann bei der ASA die Router-IP und dort wird es dann erst auf die zwei Leitungen aufgeteilt. Da ist dann aber die Frage, wofür genau du die ASA überhaupt nutzen willst. Alternativ kannst du das Load Balancing auch über OSPF durch das Routing, oder mittels GLBP einrichten. Kommt halt ganz drauf an, was du noch so an Hardware da stehen hast, oder ob du neue kaufen müsstest... Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
richidd Geschrieben 9. Juli 2009 Autor Teilen Geschrieben 9. Juli 2009 Danke für die Antworten, ich werd wohl nicht drum rum kommen einen Router für das Load-Balancing zu benutzen. @flashpixx gegen die Lizenzbestimmungen würde dieses vorgehen nicht verstoßen, aber es dürfte nicht funktionieren. Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Empfohlene Beiträge
Dein Kommentar
Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.