这里有路由问题。
在双 ISP 情况下,是否有办法同时使用两个外部 IP 并将它们通过网络地址转换 (NAT) 到更高安全级别的 Web 服务器?我遇到的问题与 ISP2 的返回路径有关。我认为这是因为 Cisco ASA 的默认路由是 ISP1。因此,如果请求从 ISP2 进入,它会成功到达 Web 服务器(经过网络地址转换后),但当数据包返回时,它会在 ISP1 链路上被取消地址转换并过载,而 ISP1 链路是请求者未预料到的 IP。
ISP端:
ISP1 = 1.1.1.1/30
ISP2 = 2.2.2.1/30
在我这边:
interface e0/1 (ISP1) has IP 1.1.1.2
interface e0/2 (ISP2) has IP 2.2.2.2
static (dmz,ISP1) tcp interface www 10.0.0.10 www netmask 255.255.255.255
static (dmz,ISP2) tcp interface www 10.0.0.10 www netmask 255.255.255.255
show route
10.0.0.0/24, directly connected dmz
1.1.1.0/30,directly connected ISP1
2.2.2.0/30,directly connected ISP1
0.0.0.0/0, [1/0] via 1.1.1.1
有没有办法标记或跟踪传入的数据包,以便它们进入和离开相同的接口?而不管默认路由是什么?
笔记:我当时想着检查返回(出站数据包)中的源 IP。我的想法是源 IP 应该是 ISP1 或 ISP2 接口的 IP,无论它首先进入哪个接口。也许基于策略的路由?
答案1
使用您当前的设置,您将无法实现这一点。正如您所发现的,您将遇到非对称路由问题,而防火墙根本不喜欢这种情况。
理想情况下,您需要一个路由器位于防火墙和 ISP 之间。
ISP1 ISP2
\ /
ROUTER
|
ASA
|
SERVERS
然后你有几个选择;
1) 然后该路由器可以启用基于策略的路由,并通过 ISP1 路由器发送来自 ISP1 地址空间的回复流量,并通过 ISP2 路由器发送来自 ISP2 地址空间的回复流量。如果您不介意每次只使用一个链接进行出站连接,那么 PBR 甚至没有必要。
或者
2) 您需要一些两个 ISP 都可以使用的公共地址空间。为此,您需要请求一些提供商独立地址空间 从您的区域互联网注册中心,或者对您的两个互联网链接使用相同的 ISP,并使用一些 BGP 魔法将它们全部联系在一起。
在两种情况下,您的防火墙都应该只有一个外部接口。