URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 23523
[ Назад ]
Исходное сообщение
"ipsec and dnat ?!"
Отправлено pyatak123 , 13-Фев-12 14:20 
Господа, добрый день. Есть такая схема:

Есть две циски asa 5505, между ними налажен ipsec туннель.

На  одну из цисок приходит пакет с параметрами: src=any dst=2.2.2.2
Далее на циске dnat на один из хостов, уже на конечное приложение.
Необходима отказоустойчивость, реализуемая поворотом трафика на другую площадку...

Необходимо, завернуть трафик в туннель, и отправить его на другую циску.
Проблема в том, что критерий интересного трафика с точки зрения acl, описать получается достаточно сложно так как src=any. Но с точки зрения транспортного уровня, интересен только трафик с dport=80.

подскажите пожалуйста, как лучше решить данную проблему, или задачу в принципе....


Содержание
Сообщения в этом обсуждении
"ipsec and dnat ?!"
Отправлено Aleks305 , 13-Фев-12 16:45 
> Господа, добрый день. Есть такая схема:
> Есть две циски asa 5505, между ними налажен ipsec туннель.
> На  одну из цисок приходит пакет с параметрами: src=any dst=2.2.2.2
> Далее на циске dnat на один из хостов, уже на конечное приложение.
> Необходима отказоустойчивость, реализуемая поворотом трафика на другую площадку...
> Необходимо, завернуть трафик в туннель, и отправить его на другую циску.
> Проблема в том, что критерий интересного трафика с точки зрения acl, описать
> получается достаточно сложно так как src=any. Но с точки зрения транспортного
> уровня, интересен только трафик с dport=80.
> подскажите пожалуйста, как лучше решить данную проблему, или задачу в принципе....

вы бы пояснее описали ситуацию.я по прочтении ничего не понял.
Отказоустойчивость, поворот трафика и т.д.

"ipsec and dnat ?!"
Отправлено pyatak123 , 13-Фев-12 17:00 

> вы бы пояснее описали ситуацию.я по прочтении ничего не понял.
> Отказоустойчивость, поворот трафика и т.д.

Я постараюсь.

Итак, две площадки с одинаковыми сервисами.

На обоих площадках на бэкэндах стоят cisco asa 5505.
Сервера ходят в инет через них.
Между цисками поднят ipsec туннель, поднят для того что бы попробовать осуществить ниже описанную схему.

Необходимо, при недоступности серверов на одной из площадок, перенапрвить трафик на другую площадку, скорее всего посредством cisco.
Попробую изобразить:

Клиент-----Площадка1-----доступна?----да----ок
                                  |---нет----Площадка2-----ок
Принятие решения о доступности не автоматическое, т.е сам вижу что площадка не отвечает, произвожу определенные действия и трафик маршрутизируется (натируется ) на Площадку2.