Você conhece a expressão: se dá para complicar, porquê simplificar?

Com base nesta ideia, vamos complicar um pouco a solução que vimos no post anterior em que usamos multi-contextos para criarmos vários Cisco ASA dentro de um único Cisco ASA. Neste post veremos como fazer várias firewalls Cisco ASA parecerem 1 única firewall Cisco ASA.

O nome da solução é Clustering e permite que tenhamos alta disponibilidade e maior escalabilidade, agrupando vários Cisco ASA em 1 único Cisco ASA logicamente. Com base na imagem abaixo, temos 2 firewalls Cisco ASA, a nível de planeamento e configuração para instalá-los na rede precisaríamos de configurá-los individualmente. Cada um com seu hostname, IP, regras de tráfego, roteamento…

Usando clustering, as firewalls estarão operando num modo Master/Slave. Toda a configuração será feita no Master e será replicada ao Slave. Vejamos como.

Primeiro começamos por validar que clustering não está habilitado.

Em seguida começamos a configuração básica e os comandos para habilitar clustering.

A firewall poderá mostrar o alerta indicando incompatibilidade com algumas configurações, basta confirmar para prosseguir:

Terminada a configuração validamos o estado do cluster.

Terminada a configuração na primeira firewall vamos fazer os mesmos passos na segunda firewall. A diferença será no hostname e no IP a definir no grupo cluster:

config-terminal
cluster interface-mode spanned

hostname ASA2
int e1
no shut
int e4
no shut

cluster group CCIE
local-unit SECONDARY
cluster-interface e2 ip 192.168.10.2 255.255.255.0
priority 2
enable

Terminada a configuração na firewall 2, dar-se-á início ao processo de eleição para definir quem será o Master/Slave. Quem tiver a prioridade mais baixa será o Master., podemos validar novamente o estado do cluster

Vemos que o cluster foi estabelecido com sucesso! Por último configuramos as interfaces em mode port-channel.

Em resumo, a implementação de cluster promove uma infraestrutura mais robusta, resiliente e eficiente.