两个Cisco ASA 5525-X作为不带第2层的Internet网关

将另一个讨厌NAT的原因添加到列表中。我在公司网络中提出了两个Internet出口点。边缘设备将是ASA 5525-X防火墙。传统上，您会将它们放入某种集群中，但这需要二级连接。由于这些设备将位于我的网络的不同部分中，因此L2连接不是一个容易的选择。

我当前正在运行的解决方案是将它们同时设置为独立的防火墙，并从每个防火墙通告默认路由。任何ECMP 对于每个流都应具有相同的哈希，并将其推向“正确的”出口防火墙。

我的问题是这样的：

1. 有没有一种方法可以在不使用L2链路的情况下对两个ASA进行集群？
2. 假设“否”是＃1的答案，我希望我的当前解决方案能有第二/三/百双眼睛。

我认为您有两种选择：

1. 将一个Internet电路指定为主路径，将另一个电路指定为故障转移
2. 使用防火墙在站点之间实施“ NAT外部”（公共空间）路由

第一个选项可确保流量始终通过一个防火墙或另一个防火墙，以使NAT不会中断。

第二个选项使您能够在两个电路之间实现负载平衡：每个电路有一条等价的默认路由，并且在两个电路之间都发布了本地公共前缀。（此选项忽略站点之间的连接是如何实现的。）

在ASA方面经验不足，因此我无法真正回答问题1。

但是，请谨慎对待有关ECMP的假设。不同的设备对ECMP的处理方式不同。从“每个目标前缀”负载平衡（几乎根本不是ECMP）到“每个数据包”负载平衡的粒度，我已经看到了ECMP实现。

为了使这项工作有效，您将不得不对路由处理进行更复杂的处理。查找ioshints已发布的DCI互连信息，这将帮助您弄清楚如何设计网络来处理此问题。抱歉，我没有网址。

就个人而言，我什至不考虑长距离群集。我相信思科的建议是直接电缆连接。ECMP可能可行，但至关重要的是按目的地（Cisco默认AFAIK）而不是按数据包进行。考虑对需要双重出站连接的被动ftp传输的影响。