|
Benvenuto,
Ospite
|
ARGOMENTO:
ASA: best practice scelta subnet di failover 8 Anni 9 Mesi fa #1
|
Ciao a tutti,
molto spesso mi capita di dover configurare coppie di firewall ASA in modalità active/standby. Come è noto, in questa configurazione si dedica un'interfaccia di ciascun firewall per le funzioni di failover, ovvero per permettere ai firewall di ciascuna coppia di scambiarsi reciprocamente informazioni sul loro "stato di salute" e, se configurato, sullo stato delle sessioni in corso in modo da mantenerle anche in caso di failover sull'unità in standby. Cisco raccomanda di utilizzare per queste interfacce una subnet (e una VLAN) dedicata. Finché la rete nella quale si introduce la coppia di firewall è relativamente piccola e gestita da un singolo soggetto, nessun problema: si sceglie una subnet (privata) inutilizzata usando un po' di buon senso e tutto fila liscio. Quando però i firewall vengono inseriti all'interno di una rete di grandi dimensioni, che magari coinvolge più aree geografiche distinte e amministrate da soggetti differenti, la scelta di una subnet libera diventa un po' più difficile e, se fatta in maniera non corretta, può provocare problemi piuttosto gravi. Fatta questa premessa, e data una ripassata alle classi degli indirizzi IPv4 , mi domandavo se fosse lecito utilizzare per la rete di failover una subnet appartenente alla classe di indirizzi "riservati per usi futuri", oppure se questa è in realtà una pessima idea, peggiore del rischio di usare una subnet già utilizzata altrove nella rete. Voi come la vedete?  PS: ricordo che il link di failover è un collegamento punto-punto che non partecipa mai al forwarding del traffico utente. |
|
Si prega Accedi a partecipare alla conversazione. |
Moderatori: jpalombi