Routing selection su ASA

[Rizio]

Ciao,
qualcuno sà se è possibile attuare un decisional routing sull'asa attraverso
route-map o altri sistemi?

Devo selezionare un next hop in base all'host di provenienza, sapete come si
possa fare?

Ios 8.2.1

Grazie
Rizio

--- news://freenews.netfront.net/ - complaints: ne...@netfront.net ---

[THe_ZiPMaN]

On 05/27/2015 10:49 AM, Rizio wrote:
> Ciao,
> qualcuno sà se è possibile attuare un decisional routing sull'asa
> attraverso route-map o altri sistemi?
>
> Devo selezionare un next hop in base all'host di provenienza, sapete
> come si possa fare?

No, non si può fare.


--
Flavio Visentin

Scientists discovered what's wrong with the female brain: on the left
side, there's nothing right, and on the right side, there's nothing left

[devx]

On 05/27/2015 09:17 PM, THe_ZiPMaN wrote:
> On 05/27/2015 10:49 AM, Rizio wrote:
>> Ciao,
>> qualcuno sà se è possibile attuare un decisional routing sull'asa
>> attraverso route-map o altri sistemi?
>>
>> Devo selezionare un next hop in base all'host di provenienza, sapete
>> come si possa fare?
>
> No, non si può fare.
>
>

In realtà si può fare...da poco però!!!
Nelle ultime release hanno introdotto il PBR

[Rizio]

Il 05/28/2015 10:24 AM, devx ha scritto:

>> No, non si può fare.
>>
> In realtà si può fare...da poco però!!!
> Nelle ultime release hanno introdotto il PBR

Si, ho letto anch'io che dalla 9.4 hanno introdotto il PRB completo.

Ho trovato dei work around in giro ma niente di convincente e non funzionante
(quello che ho provato)

Valuto un upgrade hw e sw dell'ASA

[THe_ZiPMaN]

On 05/28/2015 10:24 AM, devx wrote:
> In realtà si può fare...da poco però!!!
> Nelle ultime release hanno introdotto il PBR

Nella 9.4 uscita due settimane fa ma soprattutto che non è compatibile
con il device in possesso di Rizio...
Se lui adesso ha la 8.2.1 si tratta di un ASA della serie precedente, un
5505/10/20 che si ferma alla 9.3 (la serie 55xx-X parte con la 8.3).

Con la 7.x si poteva fare una specie di PBR usando il NAT perché il NAT
aveva la precedenza sul routing nella selezione dell'interfaccia di
uscita, ma dalla 8 in poi è cambiato e anche quel trucchetto non si può
più usare.

Oggi come oggi comunque se è possibile valuterei l'uso del Cisco ASAv al
posto delle macchine fisiche (a meno che non serva veramente tanto
throughput) e non ci saranno più problemi di upgrade.

[Rizio]

Il 05/29/2015 12:19 AM, THe_ZiPMaN ha scritto:

> Nella 9.4 uscita due settimane fa ma soprattutto che non è compatibile con il
> device in possesso di Rizio...
> Se lui adesso ha la 8.2.1 si tratta di un ASA della serie precedente, un
> 5505/10/20 che si ferma alla 9.3 (la serie 55xx-X parte con la 8.3).

Si, ho preso ulteriori informazioni ieri con i miei pusher Cisco e ti confermo
che hai ragione, sulla mio 5510 (non X) non si può in ogni caso installare la 9.4.

> Con la 7.x si poteva fare una specie di PBR usando il NAT perché il NAT aveva la
> precedenza sul routing nella selezione dell'interfaccia di uscita, ma dalla 8 in
> poi è cambiato e anche quel trucchetto non si può più usare.

Confermo anche questo, ho trovato dei work around e li ho provati per capire ma
con la mia versione di OS non ha funzionato

> Oggi come oggi comunque se è possibile valuterei l'uso del Cisco ASAv al posto
> delle macchine fisiche (a meno che non serva veramente tanto throughput) e non
> ci saranno più problemi di upgrade.

Mah, problemi di throughput non ce ne sarebbero però non passerei ad una
macchina "virtuale" per un firewall, sono all'antica :)

Sto piuttosto valutando un 5506x, per il tipo di necessità che ho io dovrebbe
essere già abbastanza (all'inizio il 5510 era stato pensato per fare anche VPN
ma poi abbiamo optato per un altro appliance separato)

Cmq grazie del parere, sempre illuminante.