Re: Balanceo de carga en asa 5510

Erik Moreno · ‎01-16-2013

Holas ¿como estas?,

Quisiera hacer unas consultas. Les cuento mi escenario tengo 2 enlaces con diferentes ISP mi equipo de borde es un asa 5510 base y quiero hacer que toda mi red excepto el correo salga a internet por el ISP1 y solo el correo salga por el ISP2, para sumarle dificultad cuando se caiga el ISP1 toda la red salga a internet por el ISP2 y al contrario si cae el ISP2 el correo sale por el ISP1.

saludos espero sus respuestas.

jose cortes · ‎01-16-2013

Erik,

Hasta donde tengo conocimiento el ASA no puede hacer balanceo de carga sobre los dos ISP dado que no puede hacer PBR. Es decir no puedes hacer enrutamiento basado en la fuente (mediante Route-Maps). La unica manera en que puedes utilizar los dos canales simultaneamente es si tienes una IP de destino fija. De esta manera puedes crear:

route primary 0 0 ISP1

route secondary [IP fija] ISP2

Por otro lado el Failover si es posible lograrlo utilizando SLA y Trackin. Aqui puedes encontrar un ejemplo de configuracion:

http://www.cisco.com/en/US/partner/products/hw/vpndevc/ps2030/products_configuration_example09186a00806e880b.shtml

Suerte,

Jose

Erik Moreno · ‎01-16-2013

muchas gracias Jose,

No puedo entrar al link que pusiste.

saludos

carlos.perez1 · ‎08-20-2019

Hola expertos,
Tengo el siguiente escenario con unos Cisco ASA 5525x

Resulta que nuestro cliente tiene 2 Salidas a internet con 2 distintos proveedores de internet,

Tenemos un ASA 5525x y un Barracuda el cual se encarga de hacer el balanceo del trafico del internet, pero ultimamente ha tenido problemas con su Barracuda y quiere sacarlo, pero nos informa si el ASA tiene funcionalidades de hacer balanceo de carga hacia internet?

Deseamos ponerle 2 ASA 5545 o un Firepower dependiendo de las funcionalidades que tenga, pero no encuentro una documentacion en la cual detallen si los ASA hacen balanceo de carga a internet?

Actualmente los barracuda que tiene si balancean internet.
Si retiro estos barracuda los ASA podran tener esa funcionalidad?

Espero su valioso apoyo.

Saludos
Carlos P.

Jaime Gonzalez · ‎01-16-2013

El distinguir sobre el correo salga por un ISP se ve mas complicado.

Puedes usar la redundancia y eso se hace habilitando static route tracking y SLA. Las rutas estáticas solo desaparecen de la tabla de enrutamiento si la interface asociada esta down por lo tanto debes habilitar el static route tracking para que una segunda ruta defaul sea usada en cado de que la primera falle.

Podemos Crear dos rutas estáticas por default con dos métricas diferentes, para que una ruta con métrica menor la uses con tu ISP preferido y la segunda ruta con métrica mayor con el otro ISP en caso de que la primera falle.

Básicamente SLA monitorea la ruta de default con pings, si no es accesible da de baja la ruta y la segunda ruta default se usa.

route outside 0.0.0.0 0.0.0.0 1.1.1.1 1 track 1 *Ruta default metrica 1 con static route tracking habilitado

route backup 0.0.0.0 0.0.0.0 2.2.2.2 100 *Ruta backup default con metrica 100

sla monitor 50 *Habilitar un Monitoreo con numero 50

type echo protocol ipIcmpEcho 1.1.1.1 interface outside *Se monitorea con pings a la IP 1.1.1.1

num-packets 3 *Numero de pings, por default el valor es 1

frequency 10 *Cada cuando se envian los pings , default 60seg

sla monitor schedule 50 life forever start-time now *Inicia el monitoreo

track 1 rtr 50 reachability *Relaciona el monitoreo con la ruta.Track 1 y SLA 50

SLA hace test con pings hacia la 1.1.1.1 cada 10 segundos enviando 3 paquetes ICMP, si no hay respuesta la ruta que tiene habilitada el "track 1" se da de baja y se usa la segunda ruta.

SLA continua monitoreando la ruta caída, si esta esta disponible nuevamente la ruta es reinstalada en la tabla de enrutamiento, y es usada porque tiene mejor métrica.