需要一些帮助来理解/解决我们面临的路由挑战 - 以下是场景/假设:
- 正在运行的 Web 应用程序托管在两个物理位置,位置 A 和 B
- 根据 DNS 设置,流量可以通过位置 A 的防火墙 A 进入,也可以通过位置 B 的防火墙 B 进入
- 每个位置都有 Web 服务器,例如位置 A 中的 Web 服务器 A 和位置 B 中的 Web 服务器 B
- 两个位置相互连接,并且两个位置之间运行 VLAN
- 因此,Web 服务器 A 和 Web 服务器 B 位于同一 VLAN 和同一子网中
- Web 服务器 A 和 Web 服务器 B 运行负载平衡,以便两者都积极处理通过活动防火墙接收的流量
- Web 服务器 A 和 B 只能有一个默认网关,该网关设置为特定于位置,例如 Web 服务器 A 的默认网关是防火墙 A
防火墙是 Cisco ASA,Web 服务器 W2003。
我面临的问题是,Web 服务器 A 上接收的 Web 应用程序的流量可能是通过防火墙 B 接收的,但由于默认网关设置为防火墙 A,我的理解是,简单来说,在这种情况下响应永远不会返回。
如果这种理解是正确的,那么可以采用什么样的路由技术来确保流量从它进来的门返回呢?
答案1
不幸的是,源 NAT 是最简单的选择。在这种情况下,ASA 将转换传入连接,使其看起来好像来自其本地接口。Web 服务器将响应此本地流量。这将使您的返回路由完全对称。如果您在 Web 服务器上的日志中跟踪流量,则需要键入除源 IP 之外的其他内容 - 或者可能将防火墙日志与 Web 日志关联起来。这有点痛苦,但会(并且确实)扩展。
根据您拥有的 ASA,您还可以将它们作为主动-主动对运行。在这种情况下,它们将共享状态并处理任何不对称问题。这将需要防火墙之间的 L2 链路,并且假设两个站点具有不同的 DMZ 空间,则两个防火墙上都存在相同的外部段。根据您配置路由的方式,这可能非常复杂,也可能超出官方支持的范围。如果您可以使此解决方案发挥作用,它将适用于两个站点。