2 Internetleitungen

[richidd 10]

Hi@all, ich hoffe Ihr könnt mir helfen.

 

Wir haben eine ASA5510 und ich möchte 2 Internetleitungen mit der ASA benutzen. Da wir keine Fail-Over Lizenz besitzen muss die Lösung ein wenig tricky sein. Leider weiss ich auch nicht ob und wie man mit der ASA Load-Balancing einsetzen kann.

Inet 1 - Standleitung für alle wichtigen Dienste ausser HTTP/S (TCP/80-443)

Inet 2 - ADSL-Leitung für HTTP/S (TCP/80-443) Verbindungen

 

Inet 1 wird über das Outside Interface angesprochen. Für dieses Interface ist eine Static Route eingerichtet:

IP-Adress und Mask 0.0.0.0

DF-Gateway: 192.168.0.1

Metric 1

Da alle anderen physischen Interfaces belegt sind wird der ADSL-Router für die Inet 2 mit einem VLAN-Interface an die ASA angebunden.

Dieses Interface soll ebenfalls eine static Route erhalten:

IP-Adress und Mask 0.0.0.0

DF-Gateway: 192.168.1.1

Metric 2

Damit ausschließlich Inet2 für HTTP/S benutzt wird möchte ich den TCP/80-443 Port mit den Access Rules für Inet1 (Outside Interface) sperren.

Kann das funktionieren? Ich habe bedenken, dass bei ausgehenden HTTP/S-Traffic die Access Rule mit deny reagiert und danach nicht automatisch versucht wird über das VLAN-Interface mit der Metric 2, für die HTTP/S erlaubt ist, die Verbindung zu routen.

 

Über alternative Vorschläge/Lösungen wäre ich auch sehr dankbar.

[blackbox 10]

Hallo,

 

direkt die harte Antwort - es geht nicht - die ASA kann *nur* eine 2te Internet Leitung als Backup! Sie kann definitiv kein Load-Balancing.

 

Aus der ASA Faq :

 

Q. Does ASA support ISP load balancing?

 

A. No. Load balancing must be handled by a router that passes traffic to the security appliance.

[richidd 10]

Danke für deine Antwort.

 

Könnte denn die Lösung wie ich sie oben beschrieben habe funktionieren?

Policy-based-routing scheint die ASA dummerweise auch nicht zu unterstützen,

dann wäre es wahrscheinlich ein leichtes.

[blackbox 10]

Hi,

 

das Problem ist - du kannst 2 Default Routen reinbauen - es klappt nur nicht - da er kein Policy Based kann.

 

EInzige was du machen kannst - ist einen Router davor - der dann aufdröselt.

[richidd 10]

Ah ok, also wird auch von der ASA definitiv kein PBR unterstützt.

Wir nutzen für die Standleitung einen Cisco 2600 Router, bin schon die ganze Zeit daran, herauszufinden, ob der Router Load-Balancing oder Trunking zweier WAN Ports unterstützt.

[blackbox 10]

Hi,

 

der 2600 wenn er genügen Interfaces hat - kann er es - die Frage ist nur - was du machen willst da genau.

[richidd 10]

Nuja, wenn der Router das unterstützt, dann konfigurier ich den zweiten WAN Port für ADSL und dann reicht mir ein Load-Balancing für allen HTTP-Traffic aus.

[Otaku19 33]

das geht nicht so recht....

[richidd 10]

Hi Otaku, warum geht das nicht so recht?

[blackbox 10]

Hi,

 

wenn du damit nur Surf machen machen willst nach aussen geht es (Session Based) nur was ist mit "reinkommenden" Session (wie SMTP usw) - da wirst du ein Problem bekommen.

 

Und es ist kein echtes Load Balancing - eher eine Verteilung auf 2 Lines abgehen (und nach Round Robin)

[Otaku19 33]

so ist es...wobei das dann meist besser als nichts ist. Je nach trafficverhalten könnte es aber zB sinnvoll sein http/Mail und so über eien leitung, kritischeren Verkehr über eine andere abzuwickeln.

 

Über was man sich aber immer Gedanken machen muss ist was passiert wenn eine der Leitungen weg ist oder die zugesicherte Bandbreite nicht mehr hergibt ? Wie detektiert das der Router und was kann er dann tun ?

[richidd 10]

Wieso sollte es mit eingehenden sessions probleme geben?

Es gibt zwei unterschiedliche externe IPs Standleitung und ADSL, je nachdem worüber der Traffic raus ist geht er auch wieder rein und wird per NAT zugeordnet. Von aussen initiierter Traffic geht sowieso über die Standleitung an den Webserver.

 

Da ich nur vorhabe HTTP traffic über die ADSL Leitung zu zerren, ist es mir egal, wenn die ADSL Leitung abschmiert und der Router das nicht mitbekommen sollte, da es nicht wichtig ist, dass Mitarbeiter surfen können.

 

Je nachdem was mir der Router für Möglichkeiten gibt wird entweder die ADSL Leitung für http-traffic dediziert oder es gibt ein dienste bassierendes load-balancing

[Otaku19 33]

dann ist das was du vorhast defakto kein loadbalancing, hier wird ja manuell genau festgelegt was wo drüber geht.

 

Kommt eben immer auf Anforderungen an, es gibt zig Anwendungsbeispiele wo http nicht als Freizeitbeschäftigung der MA dient und die benötigen dann auch einen hochverfügbaren Zugang.

Mit dem eingehen traffic ist gemeint das ein Router nicht wissen kann ob ein download jetzt viele Daten reinbringen wird oder nicht, dazu müsste er hellsehen können. Somit könne einzelne User für alle das Netz unbrauchbar machen.

[blackbox 10]

Hi,

 

doch mit eingehenden kann es zu Probs kommen - da du ja 2 x NAT machst. Dann kommt es bei VPN sehr häufig zu Problemen - das die Antwort Pakete einen anderen Weg gehen wie man es wünscht.

[richidd 10]

Ich werde es einfach ausprobieren müssen, da Load-Balancing im praktischen Einsatz für mich Neuland ist. Mir sind nur theoretische Grundlagen klar. Praktisch gibt es Unterschiede da die Implementierung von Hersteller zu Hersteller sich unterscheiden.

 

@Otaku: was ich vorhabe ist im herkömmlichen Sinne wahrscheinlich kein Load-Balancing und ist ausschließlich für ausgehenden und nicht eingehenden Traffic zuständig. Die Zuordnung von eingehenden Traffic als Antwort auf ausgehenden Traffic sollte zuverlässig vom NAT zugeordnet werden können.

 

@blackbox: Grundvoraussetzung ist, dass ich festlegen kann, welcher Traffic über welche Ports nach aussen geht. VPN ist z.B. ein Anwendungsfall der ausschließlich über die Standleitung benutzt werden soll und hauptsächlich von aussen initiiert wird.

 

Der Allnet ALL1297 Router sollte genau das können was ich möchte. Allerdings muss ich das mit dem Cisco2600 Router umsetzen.