我的任务是设置我们的 ASA,以允许来自两个 ISP 的流量。目前,ISP1 用于邮件、VPN、远程 Web 工作区 (SBS 2003) 和互联网。我的老板希望我设置 DMZ 接口以接受 HTTP 流量并将其引导到内部的 Web 服务器(如第二个外部接口)。最终,他希望我将服务逐一从 ISP1 移动到 ISP2。
从我读到的所有内容来看,这是不可能的。这似乎需要基于策略的路由,而 ASA 不支持该路由。我发现了以下内容:https://learningnetwork.cisco.com/docs/DOC-10831。如果我错了请纠正我,但这似乎允许 ISP2 上来自内部的 HTTP(S) 连接,它不适用于内部托管 Web 服务器,不是吗?
此外,我发现了使用多个 ISP 的参考资料,但这样做需要在 ASA 外部有一个路由器,如下所示: http://www.youtube.com/watch_popup?v=2rVkUIuXEMM&vq=hd720#t=31。由于我们没有多余的路由器或第 3 层交换机,所以此选项对我来说也不起作用。
有人能告诉我这是否可行吗?如果可以,您能给我指出正确的入门方向吗?
感谢大家
答案1
对于托管网站而言,重要的是能够接受来自两个 IP 地址的 HTTP 连接并在正确的地址上做出响应。您认为您找到的路由解决方法在这里不会有帮助,这是正确的;这些方法在将出站请求拆分到不同的 ISP 时会有所帮助,但出于此目的,您希望将响应发送回它们所来自的 ISP。
让两个 ISP 都监听外部地址的最简单方法是让它们都通过 NAT 连接到 Web 服务器,然后打开防火墙规则来监听 80 和 443。
我们假设 2.2.2.2 是 ISP 1 上的外部地址,3.3.3.3 是 ISP 2 上的外部地址;10.1.1.1 是 Web 服务器。您可以这样思考:
2.2.2.2 80/443 -> NAT -> 10.1.1.1 80/443
3.3.3.3 80/443 -> NAT -> 10.1.1.1 80/443
这不管用。ASA 不会让您像这样在 NAT 上加倍。解决方法是为 Web 服务器分配第二个 IP,即 10.1.1.2(并确保它在两个 IP 上都监听请求)。
2.2.2.2 80/443 -> NAT -> 10.1.1.1 80/443
3.3.3.3 80/443 -> NAT -> 10.1.1.2 80/443
然后,只要确保您有允许 80 和 443 进入新 NAT 上的外部地址的规则,就可以了。