cancel
Showing results for 
Search instead for 
Did you mean: 
cancel
772
Views
0
Helpful
4
Replies

CBAC Stateful Failover HA: ¿can it be used for three segments?

rogelioalvez
Level 1
Level 1

Hello team.

I need to protect three segments (inside, outside, DMZ) with two routers running CBAC and Stateful Failover High Availability.

I would like to know if the concept shown with two sample segments (inside, outside) in the documentation (http://www.cisco.com/en/US/prod/collateral/routers/ps5855/white_paper_c11_472858.html) can be extended for routers with three interfaces, each one attached to the segments I need to protect.

If this is a supported scenario, I would appreciate your pointing me to a sample configuration.

Thank you very much in advance.

Rogelio Alvez

Argentina                   

1 Accepted Solution

Accepted Solutions

Rogelio,

Basicamente seria HSRP groups asi como el ASA usa el stateful link, el Router establece una asociacion con un IPC group que se configure por HSRP group:

Mira el siguiente link:

Step 6

ipc zone default

Example:

Router(config)# ipc zone default

Configures the interdevice communication protocol, Inter-Process Communication (IPC), and enters IPC zone configuration mode

Use this command to initiate the communication link between the active router and standby routers.

http://www.cisco.com/en/US/prod/collateral/routers/ps5855/white_paper_c11_472858.html

Si tienes alguna duda con mucho gusto.

Mike

Mike

View solution in original post

4 Replies 4

Maykol Rojas
Cisco Employee
Cisco Employee

Rogelio!

Saludos,

, veo que eres de Argentina pense que seria mas facil en español, Tenemos un segmento llamado Preguntale al experto en el cual esta Julio Carvajal, uno de los muchachos de TAC, puedes preguntarle a el mas detalles. El se especializa en ese segmento en preguntas con relacion a IOS FW en general (incluyendo CBAC y zone based)

Volviendo a tu problema, si quieres solo proteccion para nodos que salen a internet, puedes usar solo un metodo de inspeccion en direccion "out" en la interfaz que sale a internet, asi todo el trafico que vara para internet va a ser inspeccionado y el trafico entre interfaces fluye sin ningun problema.

Si quieres aplicar inspeccion por interfaz, tambien puedes aplicar la misma inspeccion inbound en las interfaces que necesites. 

Mike

Mike

Hola Maykol:

Gracias por tu respuesta. Mi preocupación está centrada en el concepto de alta disponibilidad para más de dos interfaces. Estoy pensando en un cluster de dos routers protegiendo segmentos Inside, DMZ y Outside.

Y necesito saber si el Stateful Switchover es válido para por ejemplo tres segmentos como los que menciono en mi nota original.

No entiendo cómo IOS opera ante la desconexión de una interfaz en el equipo activo. En la familia PIX/ASA, basta que una interfaz en el equipo activo se desconecte para que la unidad primaria ceda su control a la unidad standby. Acá en IOS no me queda claro qué sucede.

Hello maykol:

Thanks a lot for your quick answer. Mi concern is about the concept of High Availability on a router cluster with three or more interfaces. I am thinking on a cluster protecting at least three user segments: Inside, DMZ and Outside.

I would like to know if the Stateful Switchover will work for these three segments.

I do not understand how IOS will react upon the disconnection of let´s say one LAN interface whilst the others are still working. ¿ Will there be asymmetric traffic flow or the active unit will failover as a block to the other unit like the ASA family would do?

Thanks a lot again, Rogelio

Rogelio,

Basicamente seria HSRP groups asi como el ASA usa el stateful link, el Router establece una asociacion con un IPC group que se configure por HSRP group:

Mira el siguiente link:

Step 6

ipc zone default

Example:

Router(config)# ipc zone default

Configures the interdevice communication protocol, Inter-Process Communication (IPC), and enters IPC zone configuration mode

Use this command to initiate the communication link between the active router and standby routers.

http://www.cisco.com/en/US/prod/collateral/routers/ps5855/white_paper_c11_472858.html

Si tienes alguna duda con mucho gusto.

Mike

Mike

Gracias Maykol por tu respuesta. Me imaginaba que se podía usar el concepto para más de dos interfaces, pero quería confirmar.

Saludos, rogelio

Getting Started

Find answers to your questions by entering keywords or phrases in the Search bar above. New here? Use these resources to familiarize yourself with the community: