将讨厌 NAT 的另一个原因添加到列表中。我在我们的公司网络中提出了两个 Internet 出口点。边缘设备将是 ASA 5525-X 防火墙。传统上,您会将这些放入某种集群中,但这需要 L2 连接。由于这些设备将位于我网络的不同部分,因此 L2 连接不是一个简单的选择。
我当前正在运行的解决方案是将它们都作为独立的防火墙启动,并从每个防火墙通告默认路由。对于每个流,任何 ECMP都应该具有相同的哈希值,并将其推向“正确”的出口防火墙。
我的问题是这样的:
我认为你有两个选择:
第一个选项确保流量始终通过一个防火墙或另一个防火墙,以便 NAT 不会中断。
第二个选项允许您在两条线路之间进行负载平衡:来自每条线路的一条等价默认路由,您的本地公共前缀在两条线路上进行通告。(此选项忽略站点之间的连接是如何实现的。)
对 ASA 没有太多经验,所以我无法真正回答问题 #1。
但是,请注意您对 ECMP 的假设。不同的设备以不同的方式处理 ECMP。我已经看到了从“每个目的地前缀”负载平衡(几乎根本不是 ECMP)到“每个数据包”负载平衡的粒度的 ECMP 实现。
您将不得不在路由处理方面变得更加复杂才能使这项工作发挥作用。查找 ioshints 发布的 DCI 互连信息,这应该可以帮助您弄清楚如何设计您的网络来处理这个问题。抱歉,我手头没有一个 URL。
就个人而言,我什至不会考虑长距离聚类。我相信 Cisco 的建议是直接电缆连接。ECMP 可能是可行的,但按目的地(思科默认 AFAIK)而不是按数据包执行至关重要。考虑对需要双出站连接的被动 ftp 传输的影响。