这是我们的场景:
我们有一台 Cisco ASA 5512x,并且有来自不同 ISP 的 2 个不同的 Internet 连接与其相连。ISP A 用于用户浏览流量(正常互联网),而 ISP B 用于站点到站点隧道以及用于从外部访问服务器的静态公共 IP。
因此,我们在 Cisco ASA 上的配置是默认路由 (0.0.0.0) 来自 ISP A,度量为 1,而另一个默认路由来自 ISP B,度量为 2。
现在的问题是,我们有一个 Web 服务器,可以通过 ISP B 的 IP 从外部访问(注意:静态 NAT 配置为映射 Web 服务器的内部 IP 和 ISP B 的静态公共 IP),但显然当该服务器响应请求时,由于存在默认路由,因此这些请求会通过 ISP A 发出。
这给我们带来了很多问题。有没有办法配置 Cisco ASA 以从 ISP B 回复?当然,用户的一般流量仍然通过 ISP A。
答案1
您无法通过修改标准路由度量来实现基于源的路由。您需要使用某种形式的 PBR 来实现您想要的效果。
放下思科阅读或获取更多信息。基本系统如下:
access-list 1 permit <server ip>
!
interface ethernet 1
ip policy route-map ALT_GW
!
route-map ALT_GW permit 10
match ip address 1
set ip next-hop <alternate gw ip>
!
答案2
您需要一个真正的路由器。思科 ASA 防火墙不是路由器...
客户环境中的默认路由/网关通常是专用路由器或第 3 层交换机,它们将所有互联网流量指向防火墙(ASA)并自行处理任何更具体的路由/VLAN。
ip route 0.0.0.0 0.0.0.0 192.168.2.1
针对同一设施中另一个租户的基于策略的路由示例。
!
interface Vlan30
description CRISTINA_DATA
ip address 172.16.30.254 255.255.255.0
ip policy route-map ISP2
!
access-list 100 permit ip 172.16.30.0 0.0.0.255 any
!
route-map ISP2 permit 10
match ip address 100
set ip default next-hop 172.16.30.1
当然,你也可以选择添加链路平衡器,因为这才是你真正想要的。Elfiq 设备可以让您对流量进行更精细的控制,具有更好的故障转移功能,同时保持现有的防火墙不变。