我们有一个 ISP(ISP1),其路由器由该 ISP 维护。我们正在建立第二个 ISP(ISP2),我们将部署和维护路由器。我们希望逐步将服务从 ISP1 迁移到 ISP2,最终逐步淘汰原来的 ISP。我们希望迁移设置支持默认路由我们未选择转到 ISP1 的流量,在逐步淘汰期间默认退出 ISP2。
我们目前在现有 ISP1 上支持 IPsec 隧道、AnyConnect vpn 和各种应用程序,ISP 提供公共 /24。请参阅附件拓扑图当前设置以及我们期望在迁移期间出现的状态概念。ISP2 正在提供一个新的 /24,所有隧道和应用程序都需要迁移到该 /24。
不幸的是,ASA 5510 不支持 PBR(基于策略的路由),因此我正在寻找一种解决方案来支持此设置,同时在迁移期间保持与 ISP1 上所有应用程序的连接。具体来说,我担心如何根据拓扑管理从我们的 ASA 到适当接口和下一跳的出站路由。我相信 IPsec 隧道相当简单,只需要一条静态路由到每个隧道对等体,从 ISP1 上游路由器发出。随着隧道的迁移,我将删除静态路由以允许它从 ISP2 发出。
我相信我可以使用出口接口路由(思科文档) 以确保应用程序流量得到适当的处理和路由,但我不确定我是否理解这的含义/要求,并希望得到反馈,了解这是否可行,或者是否有可能的替代解决方案来处理 ASA 上的路由设置。
谢谢所有反馈!
答案1
如果您的服务在公共 IP 地址上运行,并且您希望从同一台机器(或通过同一防火墙)同时在两个 ISP 线路上提供服务,那么如果没有基于源 IP 地址的策略路由,您就无法做到这一点。这是因为来自互联网的同一客户端可以连接到不同 IP 地址上提供的服务,但回复数据包必须返回到提供客户端目标 IP 地址的任何 ISP。这需要基于源 IP 地址的路由。
最常用的选项是:路由器或网关机(Linux 具有出色的基于策略的路由功能)。我没有关于 Cisco ASA 功能的具体信息。一般 IOS 路由确实提供基于策略的路由,但是,CPU 负载增加可能会令人望而却步,具体取决于所涉及的硬件和带宽数字。
如果基于策略的路由给您带来了问题,您可以通过为每种类型的 IP 地址提供两组不同的机器/防火墙(一组用于一个 ISP,一组用于另一个 ISP)来避免该问题,然后使用应用程序级代理或源 NAT 连接到单个后端服务(如果需要)。