Adicione outro motivo para odiar o NAT na lista. Estou trazendo dois pontos de saída da Internet em nossa rede corporativa. Os dispositivos de borda serão firewalls ASA 5525-X. Tradicionalmente, você os colocava em algum tipo de cluster, mas isso requer conectividade L2. Como esses dispositivos estarão em partes separadas da minha rede, a conectividade L2 não é uma opção fácil.
Minha solução atual é apresentar os dois como firewalls independentes e anunciar uma rota padrão de cada um. Qualquer ECMP deve ter o mesmo hash para cada fluxo e enviá-lo para o firewall de saída "correto".
Minha pergunta é esta:
- Existe uma maneira de agrupar dois ASAs sem precisar de um link L2?
- Quero um segundo / terceiro / cem par de olhos na minha solução atual, assumindo que "Não" é a resposta para o número 1.