2 个 ISP 接入 ASA 5510(基本许可证)并按协议(端口)分离流量。这可能吗?

2 个 ISP 接入 ASA 5510(基本许可证)并按协议(端口)分离流量。这可能吗?

我的任务是设置我们的 ASA,以允许来自两个 ISP 的流量。目前,ISP1 用于邮件、VPN、远程 Web 工作区 (SBS 2003) 和互联网。我的老板希望我设置 DMZ 接口以接受 HTTP 流量并将其引导到内部的 Web 服务器(如第二个外部接口)。最终,他希望我将服务逐一从 ISP1 移动到 ISP2。

从我读到的所有内容来看,这是不可能的。这似乎需要基于策略的路由,而 ASA 不支持该路由。我发现了以下内容:https://learningnetwork.cisco.com/docs/DOC-10831。如果我错了请纠正我,但这似乎允许 ISP2 上来自内部的 HTTP(S) 连接,它不适用于内部托管 Web 服务器,不是吗?

此外,我发现了使用多个 ISP 的参考资料,但这样做需要在 ASA 外部有一个路由器,如下所示: http://www.youtube.com/watch_popup?v=2rVkUIuXEMM&vq=hd720#t=31。由于我们没有多余的路由器或第 3 层交换机,所以此选项对我来说也不起作用。

有人能告诉我这是否可行吗?如果可以,您能给我指出正确的入门方向吗?

感谢大家

答案1

对于托管网站而言,重要的是能够接受来自两个 IP 地址的 HTTP 连接并在正确的地址上做出响应。您认为您找到的路由解决方法在这里不会有帮助,这是正确的;这些方法在将出站请求拆分到不同的 ISP 时会有所帮助,但出于此目的,您希望将响应发送回它们所来自的 ISP。

让两个 ISP 都监听外部地址的最简单方法是让它们都通过 NAT 连接到 Web 服务器,然后打开防火墙规则来监听 80 和 443。

我们假设 2.2.2.2 是 ISP 1 上的外部地址,3.3.3.3 是 ISP 2 上的外部地址;10.1.1.1 是 Web 服务器。您可以这样思考:

2.2.2.2 80/443 -> NAT -> 10.1.1.1 80/443
3.3.3.3 80/443 -> NAT -> 10.1.1.1 80/443

这不管用。ASA 不会让您像这样在 NAT 上加倍。解决方法是为 Web 服务器分配第二个 IP,即 10.1.1.2(并确保它在两个 IP 上都监听请求)。

2.2.2.2 80/443 -> NAT -> 10.1.1.1 80/443
3.3.3.3 80/443 -> NAT -> 10.1.1.2 80/443

然后,只要确保您有允许 80 和 443 进入新 NAT 上的外部地址的规则,就可以了。

相关内容