CISCO Loadbalancing mit zwei Interfaces im gleichen Subnet
Moin!
Ich habe folgende Problemstellung:
Ein WAN ist über zwei Firewalls bereitgestellt, und soll mit einem Router ins interne Netz geroutet werden.
Der Router (CISCO 2800) hat zwei FastEthernet(fa0/0 und 0/1) Schnittstellen und eine Switchportkarte mit 4 Ports(fa0/0/0 bis 0/0/3).
Ich habe keinen Zugriff auf die Konfiguration der Firewalls und die Geräte sind direkt verbunden.
Konfiguration im Switch ist wie folgt:
ETH0/0 -> Firewall1 (IP x.x.x.4)
ETH0/1 -> Internes Netz(y.y.y.5)
ETH/0/0/0 -> Firewall2
Ich möchte jetzt der ETH0/0/0 eine IP aus dem Netz x.x.x zuweisen und Load-Balancing zwischen den beiden Firewalls einrichten (eigentlich nur eine Hot Standby Verbindung), damit bei Ausfall der Firewall1 automatisch auf Firewall2 geroutet wird.
Ich habe versucht dem Interface ETH0/0/0 über VLAN eine IP zuzuweisen, da ich keine IP direkt auf ein L2 Interface vergeben kann.
Dabei wird mir angezeigt das das Subnet sich mit ETH0/0 überlagert.
Ich würde erstmal versuchen ETH0/0 und ETH 0/0/0 über VLAN zu verbinden, die Adresse bei ETH0/0 zu löschen und auf das VLAN zuzuweisen, aber bevor ich die Verbindung kaputtmache frage ich lieber ob jemand eine andere Idee hat oder mir direkt sagen kann ob das Unfug ist
Danke schonmal
Jan
Ich habe folgende Problemstellung:
Ein WAN ist über zwei Firewalls bereitgestellt, und soll mit einem Router ins interne Netz geroutet werden.
Der Router (CISCO 2800) hat zwei FastEthernet(fa0/0 und 0/1) Schnittstellen und eine Switchportkarte mit 4 Ports(fa0/0/0 bis 0/0/3).
/Firewall 1(x.x.x.2)\
WAN < >Router - Internes Netz
\Firewall 2(x.x.x.3)/Ich habe keinen Zugriff auf die Konfiguration der Firewalls und die Geräte sind direkt verbunden.
Konfiguration im Switch ist wie folgt:
ETH0/0 -> Firewall1 (IP x.x.x.4)
ETH0/1 -> Internes Netz(y.y.y.5)
ETH/0/0/0 -> Firewall2
Ich möchte jetzt der ETH0/0/0 eine IP aus dem Netz x.x.x zuweisen und Load-Balancing zwischen den beiden Firewalls einrichten (eigentlich nur eine Hot Standby Verbindung), damit bei Ausfall der Firewall1 automatisch auf Firewall2 geroutet wird.
Ich habe versucht dem Interface ETH0/0/0 über VLAN eine IP zuzuweisen, da ich keine IP direkt auf ein L2 Interface vergeben kann.
Dabei wird mir angezeigt das das Subnet sich mit ETH0/0 überlagert.
Ich würde erstmal versuchen ETH0/0 und ETH 0/0/0 über VLAN zu verbinden, die Adresse bei ETH0/0 zu löschen und auf das VLAN zuzuweisen, aber bevor ich die Verbindung kaputtmache frage ich lieber ob jemand eine andere Idee hat oder mir direkt sagen kann ob das Unfug ist
Danke schonmal
Jan
Kommentieren
Teilen
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 260375
Url: https://administrator.de/forum/cisco-loadbalancing-mit-zwei-interfaces-im-gleichen-subnet-260375.html
Ausgedruckt am: 09.05.2025 um 22:05 Uhr
6 Kommentare
Neuester Kommentar
Das löst du ganz einfach mit Policy Based Routing auf dem Cisco 2800.
Dieser Thread beschreibt die Grundlagen dazu und wie man das umsetzt:
Cisco Router 2 Gateways für verschiedene Clients
Dieser Thread beschreibt die Grundlagen dazu und wie man das umsetzt:
Cisco Router 2 Gateways für verschiedene Clients
Das geht meines Wissens doch nur wenn die beiden Gateways in unterschiedlichen Adressbereichen sind, oder?
Nein, das ist falsch !
Das next Hop Gateway darf bei PBR auch im gleichen IP Netz liegen.
Probiers aus dann siehst du es ! Oder.... Einfach mal ins Handbuch sehen !
Das next Hop Gateway darf bei PBR auch im gleichen IP Netz liegen.
Probiers aus dann siehst du es ! Oder.... Einfach mal ins Handbuch sehen !
So, ich habe die Konfiguration jetzt wie folgt geändert:
ETH0/1 -> Internes Netz(y.y.y.5)
ETH0/0/0 -> Firewall1(x.x.x.2)
ETH0/0/1 -> Firewall2(x.x.x.3)
VLAN 10 mit IP x.x.x.4 auf die Switchports gelegt
Wenn ich mir die Counter anschaue läuft das Mapping wie von aqui beschrieben.
Dummerweise haben die FW-Admins gestern irgendetwas an der Firewall 2 geändert, so dass ich im Moment nicht testen kann ob das Mapping auch umschaltet.
Ich werde aber das Ergebnis hier veröffentlichen.
Edit:
Die Firewalls hängen jetzt beide auf der Adresse x.x.x.1, damit hat sich die Fragestellung erledigt...
Trotzdem danke an aqui, deine Lösung war genau das was ich gesucht habe!
ETH0/1 -> Internes Netz(y.y.y.5)
ETH0/0/0 -> Firewall1(x.x.x.2)
ETH0/0/1 -> Firewall2(x.x.x.3)
VLAN 10 mit IP x.x.x.4 auf die Switchports gelegt
ip route 0.0.0.0 0.0.0.0 x.x.x.2
access-list 100 Permit any any
route-map UPLINK Permit 10
match ip adress 100
set ip Default x.x.x.3Wenn ich mir die Counter anschaue läuft das Mapping wie von aqui beschrieben.
Dummerweise haben die FW-Admins gestern irgendetwas an der Firewall 2 geändert, so dass ich im Moment nicht testen kann ob das Mapping auch umschaltet.
Ich werde aber das Ergebnis hier veröffentlichen.
Edit:
Die Firewalls hängen jetzt beide auf der Adresse x.x.x.1, damit hat sich die Fragestellung erledigt...
Trotzdem danke an aqui, deine Lösung war genau das was ich gesucht habe!
Wenn ich mir die Counter anschaue läuft das Mapping wie von aqui beschrieben.
Das sollte es auch Traceroute oder Pathping sollte dir es auch explizit zeigen oder wenn du dir mit dem Debugger mal die Route Map ansiehst !
Die Firewalls hängen jetzt beide auf der Adresse x.x.x.1,
Dann haben die mit beiden FWs ein Active Active Szenario realisiert ?!
Ja, und sie haben vergessen mich in der zweiten Firewall freizuschalten weshalb ich aufgrund des fehlenden ARP -reply nicht richtig testen konnte 
Ich habe jetzt die route-map wieder rausgeworfen, bin aber noch nicht sicher ob meine Lösung (ARP macht das schon) die beste ist - evtl fällt mir dazu morgen noch was ein.
Ich werde trotzdem nochmal mit den Admins sprechen ob sie unterschiedliche Adressen einrichten können, da das PBR schneller umschaltet.
Ich habe jetzt die route-map wieder rausgeworfen, bin aber noch nicht sicher ob meine Lösung (ARP macht das schon) die beste ist - evtl fällt mir dazu morgen noch was ein.
Ich werde trotzdem nochmal mit den Admins sprechen ob sie unterschiedliche Adressen einrichten können, da das PBR schneller umschaltet.
