Failover dwóch pełniących różne zadania firewalli Cisco ASA za pomocą przełącznika Cisco Catalyst
Wśród stałych klientów ITNS Polska, korzystających z usług doradztwa IT, jest obecny na rynku od niemal stu lat, lider Europy Środkowo-Wschodniej w produkcji akumulatorów. W skład jego infrastruktury sieciowej wchodził firewall dla firm Cisco ASA i dwa łącza internetowe. Łącze główne służyło do komunikacji centrali z resztą korporacji. Drugie to łącze techniczne, w ramach którego udostępniana była usługa VPN (realizowana przez wspomniany firewall) oraz internet dla serwera WEB Proxy.
Firewall Cisco ASA jest bardzo wydajny i zapewnia wysoki poziom bezpieczeństwa IT, jednak ma istotne ograniczenia pod względem trasowania ruchu sieciowego. Dla usługi Cisco VPN Client oraz dostępu do stron WWW nie pozwala określić innego routingu niż brama domyślna. Dla połączeń z korporacją należało dodawać routingi dla każdej sieci zdalnej, kierujące ruch sieciowy poprzez główne łącze. Naszym zadaniem było znalezienie rozwiązania, które umożliwiłoby kierowanie domyślnego routingu na łącze korporacyjne przy jednoczesnej obsłudze usługi VPN oraz WEB proxy na łączu technicznym.
Nasi inżynierowie szybko wpadli na pomysł, jak osiągnąć cel, jednocześnie zapewniając też lepszą ochronę systemu informatycznego przed awarią. Okazało się, że klient posiada w swoich zasobach dodatkowy, nieużywany firewall Cisco ASA skonfigurowany analogicznie do działającego. Postanowiliśmy wykorzystać oba urządzenia. Pierwsze z nich, „korporacyjne”, kieruje domyślną trasę przez łącze główne i obsługuje najważniejsze połączenia – zarówno te między lokalnymi podsieciami, jak i z sieciami pozostałych oddziałów korporacji. Drugie, zaimplementowane przez nas urządzenie kieruje ruch przez łącze techniczne, realizuje połączenia VPN oraz dostęp do internetu dla serwera WEB Proxy. Pełni także rolę firewalla zapasowego.
Za wykrywanie awarii ASA „korporacyjnego” odpowiedzialny jest switch Cisco Catalyst, do którego wszystkimi portami podłączone są oba firewalle. Przełączniki Cisco, zarządzane przez system IOS, umożliwiają dokonywanie automatycznej rekonfiguracji w odpowiedzi na różne zdarzenia. W tym przypadku, kiedy chociażby jeden z portów, do których podłączony jest główny firewall, zmieni status na „down”, pozostałe połączenia zostają również dezaktywowane. Natomiast wyłączone porty, do których podłączony jest ASA „zapasowy” aktywują się. Zastosowane rozwiązanie nie tylko w pełni zaspokoiło potrzeby klienta ale dodatkowo zapewniło system failover, a co za tym idzie, odporność na awarię głównego firewalla.