Replikacja zapory ogniowej

Jeśli mam dwie witryny centrów danych, które są uważane za zbędne. Czy można zsynchronizować konfigurację zapory ogniowej z podstawowej do kopii zapasowej? Jaki jest najlepszy sposób na jednoczesne aktualizowanie obu zapór?

Jeśli tak, co jest wymagane?

Użyte wyposażenie:

Główny prąd stały
- Dwa Cisco ASA z systemem 8.2.5
Remote DC
- Dwa Cisco ASA z systemem 8.6

Łącze między dwoma DC jest połączeniem L2 łączącym oba rdzenie DC. ASA łączy się z każdym rdzeniem.

cisco-asa redundancy failover

— użytkownik1477
źródło

Oznaczono to jako „cisco-asa” - czy korzystasz z ASA w swoich centrach danych? Odpowiedź będzie zależeć od używanych zapór ogniowych, a także od wersji oprogramowania i działających na nich funkcji licencjonowanych. Podaj tę informację w swoim pytaniu.

— John Jensen

Jak daleko od siebie są rozpatrywane centra danych? Pamiętaj, że powinieneś starać się utrzymać opóźnienie poniżej 10ms, aby uzyskać najlepszą wydajność przełączania awaryjnego

— Mike Pennington

Czy jakaś odpowiedź ci pomogła? jeśli tak, powinieneś zaakceptować odpowiedź, aby pytanie nie wyskakiwało wiecznie, szukając odpowiedzi. Alternatywnie możesz podać i zaakceptować własną odpowiedź.

— Ron Maupin

Mamy podobną konfigurację, ale z dwoma zestawami 8.2 (5) i użyliśmy wewnętrznego skryptu, aby wykryć zmiany konfiguracji w parze podstawowej, zmienić niezbędne szczegóły, aby umożliwić podłączenie w drugim kontrolerze domeny i przesłać konfigurację do druga para zapory i na końcu uruchom ponownie.

Działa to tylko dla nas, ponieważ druga para FW jest całkowicie pasywna, a przełączanie awaryjne nie jest aktywne.

Wszystko, co w zasadzie robi skrypt, to wyciągnięcie aktywnej konfiguracji, uruchomienie wyrażenia regularnego w celu zastąpienia szczegółów zarządzania szczegółami zarządzania drugą parą, wyrażenia regularnego w celu zastąpienia SNMP, nazwy hosta itp. Po wykonaniu tej czynności TFTP konfiguruje drugą parę i inicjuje ponowne uruchomienie .

— David Rothera
źródło

Jeśli chcesz, mogę przesłać go do github lub coś w celach informacyjnych.

— David Rothera

Rozwiązania skryptowe są prawdopodobnie najlepszym, co możesz zrobić, aby utrzymać cztery zapory ogniowe w trudnym etapie synchronizacji konfiguracji ... chociaż jest to architektonicznie ograniczone do scenariusza aktywnego / gotowości DC

— Mike Pennington,

Byłoby świetnie! Lub napisz dannyvanzee@gmail.com

— user1477

Czy mogę zapytać, dlaczego masz FW restart po zmianie konfiguracji? Dlaczego nie przestawić go na działanie konfiguracji?

— bigmstone

Zawsze tak robiliśmy, ponieważ niektórych zmian nie da się łatwo przeprowadzić po prostu nadpisując działającą konfigurację.

— David Rothera