BGP /マルチホーミング
現在、ASA5505があり、2番目のISPを取得しています(両方のISPに20のアップ/ダウン専用ファイバーがあります)。
BGP /マルチホーミングをセットアップできる必要がありますが、ASAはこれをサポートしていないことがわかりました。これは、それらがルーターよりも多くのファイアウォール(NAT機能)を備えている)であるという事実によるものです。
この機能にはどのようなハードウェアが必要ですか?フェイルオーバーペアとして構成できるようにするには、そのうちの2つが必要になります。
現在、両方のASAにSecurity +があり、フェールオーバーアレイとして設定されています。
いくつかの選択肢があります。 1つの可能性は、2台の安価なPCをASA5505の前に置くことです。 1台のPCが各ISPへの「ボーダールーター」として機能し、もう一方の「ボーダールーター」とそのISPの両方でBGPを実行します。次に、ファイアウォールを接続できる境界ルーターから独自のISPネットワークを作成します。
使い慣れたPCには、どのOSまたはプラットフォームでも使用できます。 OpenBSD、FreeBSD、Linux、またはルーター固有のディストリビューションはすべて、100Mbps以下で非常にうまく機能します。
発信トラフィックには、最適ではないロードシェアリングソリューションがあります。 ASAに4つのスタティックルートを作成できます。「1つは1つのISPからのインターネットアドレスの半分用で、もう1つは他のISPからのインターネットアドレスの残りの半分用です」( iTomを引用 )。また、メトリック1からISP1へのデフォルトルートと、メトリック10からISP2への別のデフォルトルート。
次に、ICMPエコーを使用してこれらの静的ルート(SLAモニタリング)を追跡し、たとえば8.8.8.8にします(各ISPを異なるインターフェイスに接続する必要があります)。
つまり、インターネットアドレスの前半と、メトリック1がISP1を指すデフォルトルートがあるとします。次に、ISP1に接続されているインターフェイスと、8.8.8.8へのpingの両方でそれらを追跡します。
他の2つのルートも同じです...そしてそこに行きます。いずれかのISPから8.8.8.8へのpingを停止すると、2つのルートがルーティングテーブルから削除され、インターネットアドレスの欠落している半分をカバーするためにデフォルトルートの使用が開始されます。
または、アクティブ/スタンバイソリューションを使用してソリューションを簡略化することもできます。そのため、必要なルートは2つだけです。デフォルトはメトリック1で、もう1つはメトリック10です。次に、8.8.8.8へのpingで最初のルートのみを追跡します。 pingが失敗すると、メトリック1のデフォルトルートがルーティングテーブルから削除され、ISP2の使用が開始されます。