Jump to content

ASA 5510 Failover über zwei Rechenzentren

v-rtc

Von v-rtc
in Cisco Forum — Allgemein

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

v-rtc Veteran

v-rtc   88

Geschrieben
Geschrieben

Hallo liebes Forum,

 

wir haben aktuell folgende Situation:

Im RZ1 haben wir einen 6500er und im RZ2 ebenfalls (VSS). Aktuell befinden sich noch beide ASAs im RZ1. Failover über ein Cross-Over Kabel.

 

Ziel:

Die Secondary ASA im RZ2 betreiben. Hierzu müssen wir dann die Konfiguration in eine "Configuring LAN-Based Active/Active Failover" (Link: Cisco Security Appliance Command Line Configuration Guide, Version 7.2 - Configuring Failover* [Cisco ASA 5500 Series Adaptive Security Appliances] - Cisco Systems) umändern, oder sehen wir das falsch?

 

Die späteren Ports für den Failover, bekommen dazu noch eine neue VLAN ID. Das sollte das Ganze dann abrunden.

 

Hat jemand von Euch damit schon Erfahrung? Auch in Bezug auf Stabilität und Zuverlässigkeit?

 

Vielen Dank.

 

Grüße

 

Rolf

Link zu diesem Kommentar
Otaku19 Veteran

Otaku19   33

Geschrieben
Geschrieben

ich denke kaum das du active/active machen MUSST, das wäre nur dann der Fall wenn jetzt schon multiplecontext hast und es sinnvoll ist den traffic ein wenig zu verteilen.

 

Ich habe schon etliche Firewalls in verschiedenen DC betreut, war nie ein Problem, über den failoverlink wird immer die config gesynct, healthmonitoring läuft da drüber und der connection/nat table wird gesynct.

Äussert angenehm ist die Konfiguration, failover config auf der primären Box fertig machen, grundconfig, sprich interface/ip und failover auf der secondary konfigurieren und fertig, die secondary zieht sich sofort die restliche config und das wars.

 

Komplett fehlerfrei ist die Sache trotzdem nicht, man ist nie vor komischen Fehlkonfigurationen oder HW Fehlern gefeit was dann dazu führen kann das beide ASAs active sind.

Link zu diesem Kommentar
Wordo Veteran

Wordo   11

Geschrieben
Geschrieben

 

Komplett fehlerfrei ist die Sache trotzdem nicht, man ist nie vor komischen Fehlkonfigurationen oder HW Fehlern gefeit was dann dazu führen kann das beide ASAs active sind.

 

Ich schaeme mich weil ichs noch nie nachgestellt hab, aber was passiert wenn der Link zwischen den DC's wegbricht? Dann hast du doch klassisches splitbrain oder nicht? Dann sind beide ASA's mehr oder weniger nicht zu gebrauchen ...

Link zu diesem Kommentar
wiri Community Regular

wiri   10

Geschrieben
Geschrieben
Ich schaeme mich weil ichs noch nie nachgestellt hab, aber was passiert wenn der Link zwischen den DC's wegbricht? Dann hast du doch klassisches splitbrain oder nicht? Dann sind beide ASA's mehr oder weniger nicht zu gebrauchen ...

 

beim Novellcluster gab es dafür die "Poisonpill" für den 2 Server der auch noch Master spielen wollte.

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
Zurück zur Übersicht


×
×
  • Neu erstellen...