Cisco ASA 5512x 上的静态公共 IP 问题

Cisco ASA 5512x 上的静态公共 IP 问题

这是我们的场景:

我们有一台 Cisco ASA 5512x,并且有来自不同 ISP 的 2 个不同的 Internet 连接与其相连。ISP A 用于用户浏览流量(正常互联网),而 ISP B 用于站点到站点隧道以及用于从外部访问服务器的静态公共 IP。

因此,我们在 Cisco ASA 上的配置是默认路由 (0.0.0.0) 来自 ISP A,度量为 1,而另一个默认路由来自 ISP B,度量为 2。

现在的问题是,我们有一个 Web 服务器,可以通过 ISP B 的 IP 从外部访问(注意:静态 NAT 配置为映射 Web 服务器的内部 IP 和 ISP B 的静态公共 IP),但显然当该服务器响应请求时,由于存在默认路由,因此这些请求会通过 ISP A 发出。

这给我们带来了很多问题。有没有办法配置 Cisco ASA 以从 ISP B 回复?当然,用户的一般流量仍然通过 ISP A。

答案1

您无法通过修改标准路由度量来实现基于源的路由。您需要使用某种形式的 PBR 来实现您想要的效果。

放下思科阅读或获取更多信息。基本系统如下:

access-list 1 permit <server ip>
!
interface ethernet 1
 ip policy route-map ALT_GW
!
route-map ALT_GW permit 10
 match ip address 1
 set ip next-hop <alternate gw ip>
!

答案2

您需要一个真正的路由器。思科 ASA 防火墙不是路由器...

客户环境中的默认路由/网关通常是专用路由器或第 3 层交换机,它们将所有互联网流量指向防火墙(ASA)并自行处理任何更具体的路由/VLAN。

ip route 0.0.0.0 0.0.0.0 192.168.2.1 

针对同一设施中另一个租户的基于策略的路由示例。

!
interface Vlan30
 description CRISTINA_DATA
 ip address 172.16.30.254 255.255.255.0
 ip policy route-map ISP2
!
access-list 100 permit ip 172.16.30.0 0.0.0.255 any
!
route-map ISP2 permit 10
 match ip address 100
 set ip default next-hop 172.16.30.1

当然,你也可以选择添加链路平衡器,因为这才是你真正想要的。Elfiq 设备可以让您对流量进行更精细的控制,具有更好的故障转移功能,同时保持现有的防火墙不变。

相关内容