07-09-2012 01:28 PM - edited 03-11-2019 04:28 PM
Hello team.
I need to protect three segments (inside, outside, DMZ) with two routers running CBAC and Stateful Failover High Availability.
I would like to know if the concept shown with two sample segments (inside, outside) in the documentation (http://www.cisco.com/en/US/prod/collateral/routers/ps5855/white_paper_c11_472858.html) can be extended for routers with three interfaces, each one attached to the segments I need to protect.
If this is a supported scenario, I would appreciate your pointing me to a sample configuration.
Thank you very much in advance.
Rogelio Alvez
Argentina
Solved! Go to Solution.
07-10-2012 09:56 AM
Rogelio,
Basicamente seria HSRP groups asi como el ASA usa el stateful link, el Router establece una asociacion con un IPC group que se configure por HSRP group:
Mira el siguiente link:
http://www.cisco.com/en/US/prod/collateral/routers/ps5855/white_paper_c11_472858.html
Si tienes alguna duda con mucho gusto.
Mike
07-09-2012 11:16 PM
Rogelio!
Saludos,
, veo que eres de Argentina pense que seria mas facil en español, Tenemos un segmento llamado Preguntale al experto en el cual esta Julio Carvajal, uno de los muchachos de TAC, puedes preguntarle a el mas detalles. El se especializa en ese segmento en preguntas con relacion a IOS FW en general (incluyendo CBAC y zone based)
Volviendo a tu problema, si quieres solo proteccion para nodos que salen a internet, puedes usar solo un metodo de inspeccion en direccion "out" en la interfaz que sale a internet, asi todo el trafico que vara para internet va a ser inspeccionado y el trafico entre interfaces fluye sin ningun problema.
Si quieres aplicar inspeccion por interfaz, tambien puedes aplicar la misma inspeccion inbound en las interfaces que necesites.
Mike
07-10-2012 06:52 AM
Hola Maykol:
Gracias por tu respuesta. Mi preocupación está centrada en el concepto de alta disponibilidad para más de dos interfaces. Estoy pensando en un cluster de dos routers protegiendo segmentos Inside, DMZ y Outside.
Y necesito saber si el Stateful Switchover es válido para por ejemplo tres segmentos como los que menciono en mi nota original.
No entiendo cómo IOS opera ante la desconexión de una interfaz en el equipo activo. En la familia PIX/ASA, basta que una interfaz en el equipo activo se desconecte para que la unidad primaria ceda su control a la unidad standby. Acá en IOS no me queda claro qué sucede.
Hello maykol:
Thanks a lot for your quick answer. Mi concern is about the concept of High Availability on a router cluster with three or more interfaces. I am thinking on a cluster protecting at least three user segments: Inside, DMZ and Outside.
I would like to know if the Stateful Switchover will work for these three segments.
I do not understand how IOS will react upon the disconnection of let´s say one LAN interface whilst the others are still working. ¿ Will there be asymmetric traffic flow or the active unit will failover as a block to the other unit like the ASA family would do?
Thanks a lot again, Rogelio
07-10-2012 09:56 AM
Rogelio,
Basicamente seria HSRP groups asi como el ASA usa el stateful link, el Router establece una asociacion con un IPC group que se configure por HSRP group:
Mira el siguiente link:
http://www.cisco.com/en/US/prod/collateral/routers/ps5855/white_paper_c11_472858.html
Si tienes alguna duda con mucho gusto.
Mike
07-11-2012 05:53 AM
Gracias Maykol por tu respuesta. Me imaginaba que se podía usar el concepto para más de dos interfaces, pero quería confirmar.
Saludos, rogelio
Discover and save your favorite ideas. Come back to expert answers, step-by-step guides, recent topics, and more.
New here? Get started with these tips. How to use Community New member guide