VPN, охватывающий два WAN-соединения на Cisco ASA?
-
Здравствуйте, У меня к вам небольшой вопрос, так как я не совсем уверен, что вы сможете это сделать. В общем, мы соединяем два офиса и нам нужна более высокая пропускная способность между сайтами через VPN. Основной сайт имеет выделенную линию, а удаленный сайт имеет SDSL-соединение с вторичной ADSL-линией другого провайдера, настроенной в режиме отказоустойчивости. В главном отделении установлен Cisco ASA 5520, а в удаленном — 5510, с VPN между сайтами. Можно ли использовать резервную линию для увеличения пропускной способности через VPN между сайтами? Я имею в виду создание VPN-соединения, объединяющего две WAN? Draytek имеет функцию в своей серии 2930, которая позволяет сделать это, называемую VPN Trunk/Bonding. Мне было интересно, возможно ли это на Cisco ASA? Если нет, есть ли какой-нибудь способ достичь этого с помощью дополнительного оборудования? Я не хочу использовать Draytek для основного сайта, очевидно, потому что нагрузка, вероятно, выведет его из строя, но я не против использования этого на удаленном сайте перед ASA. Заранее спасибо.
-
Насколько я знаю, в ASA нет функции, которая бы выполняла то, о чем вы просите. В зависимости от профиля трафика вы можете найти решение, создав две VPN-сети между сайтами (одну через SDSL, а другую через ADSL) и применив криптокарту для части трафика к одной сети, а для остальной части трафика — к другой.
-
Я так и думал, единственный способ, который я вижу, это создать туннели с помощью Draytek, а затем установить ASA в качестве брандмауэра. Не уверен, что Draytek требует еще одного Draytek на другом сайте. Спасибо за подтверждение. Жаль, что ASA не поддерживает немного больше, одна из других вещей, которые мне не хватает для небольшого офиса, — это DNS-прокси/кэш, который можно найти на устройствах IOS.
-
Привет, Марвин, Можно ли использовать ECMP для этого? С уважением Вайбхав
-
Хорошая идея, но ECMP не поддерживается на нескольких интерфейсах. Источник: http://www.cisco.com/c/en/us/support/docs/security/adaptive-security-appliance-asa-software/115986-asa-eqm-products-configuration-example.html
-
Привет, Марвин, Я только что прочитал где-то Начиная с версии Asa 9.3.2, Asa поддерживает 8 маршрутов ecmp через несколько интерфейсов с использованием зон.
-
Хорошая идея — возможно, у вас получится. Сообщите нам, как это сработало, если у вас будет возможность попробовать.
-
Были ли какие-либо изменения в этом ограничении за последние 13 лет?
-
@kevinkrk
ECMP поддерживается для VPN, использующих SVTI на ASA, уже довольно давно.
https://www.cisco.com/c/en/us/td/docs/security/asa/asa923/configuration/general/asa-923-general-config/interface-zones.html Если вам требуется дополнительная помощь, создайте новую публикацию и опишите свою ситуацию.
Здравствуйте! Похоже, вам интересна эта беседа, но у вас пока нет учетной записи.
Вы устали просматривать одни и те же посты каждый раз, когда заходите на сайт? После регистрации, вам не придётся искать обсуждения в которых вы принимали участие, настройте уведомления о новых сообщениях так как вам это удобно (по электронной почте или уведомлением). У вас появится возможность сохранять закладки и ставить лайки постам, чтобы выразить свою благодарность другим участникам сообщества.
С вашими комментариями этот пост может стать ещё лучше 💗
Зарегистрироваться Войти