Replicación de cortafuegos

10

Si tengo dos sitios de centros de datos que se consideran redundantes entre sí. ¿Es posible sincronizar la configuración del cortafuegos del primario al respaldo? ¿Cuál es la mejor manera de mantener actualizados ambos firewalls al mismo tiempo?

Si es así, ¿qué se requiere?

Equipamiento usado:

  • DC principal
    • Dos Cisco ASA's ejecutando 8.2.5
  • DC remoto
    • Dos Cisco ASA's ejecutando 8.6

El enlace entre los dos DC's es un enlace L2 que conecta ambos núcleos DC. El ASA se conecta a cada núcleo.

cisco-asa redundancy failover usuario1477
fuente
44
Has etiquetado esto como "cisco-asa". ¿Estás utilizando ASA en tus centros de datos? La respuesta dependerá de los firewalls que esté utilizando, así como de la versión del software y las características con licencia que se ejecutan en ellos. Incluya esta información en su pregunta.
John Jensen
3
¿A qué distancia están los centros de datos en cuestión? Tenga en cuenta que debe intentar mantener su latencia por debajo de 10 ms para obtener el mejor rendimiento de conmutación por error
Mike Pennington
¿Alguna respuesta te ayudó? Si es así, debe aceptar la respuesta para que la pregunta no siga apareciendo para siempre, buscando una respuesta. Alternativamente, puede proporcionar y aceptar su propia respuesta.
Ron Maupin

Respuestas:

4

Tenemos una configuración similar pero con dos conjuntos de 8.2 (5) y hemos utilizado un script interno para detectar cambios de configuración en el par primario, cambiar los detalles necesarios para que sea conectable en el segundo DC y empujar la configuración al segundo par de cortafuegos y finalmente reiniciar.

Esto solo funciona para nosotros porque el segundo par de FW es completamente pasivo mientras que una conmutación por error no está activa.

Básicamente, todo lo que hace el script es extraer la configuración activa, ejecutar una expresión regular para reemplazar los detalles de administración con los del segundo par, una expresión regular para reemplazar el SNMP, el nombre de host, etc. Una vez hecho, TFTP es la configuración para el segundo par e inicia un reinicio .

David Rothera
fuente
Si quieres puedo subirlo a github o algo para referencia.
David Rothera
Las soluciones de script son probablemente lo mejor que puede hacer para mantener cuatro firewalls en una etapa aproximada de sincronización de configuración ... aunque esto se limita arquitectónicamente a un escenario DC activo / en espera
Mike Pennington
¡Eso seria genial! O envíe un correo electrónico a [email protected]
user1477
¿Puedo preguntar por qué reinicia los FW después de los cambios de configuración? ¿Por qué no moverlo a ejecutar config work?
bigmstone 05 de
Siempre lo hemos hecho, ya que algunos de los cambios no se pueden realizar fácilmente cuando se sobrescribe la configuración en ejecución.
David Rothera