Problema de IP público estático no Cisco ASA 5512x

Navegue suas respostas
3

Este é o nosso cenário:

Temos um Cisco ASA 5512x e temos duas conexões de Internet diferentes de diferentes ISPs conectados a ele. O ISP A está sendo usado para os usuários que navegam no tráfego (Internet normal), enquanto o ISP B é usado para túneis site a site e também para os IPs públicos estáticos para acessar os servidores a partir do exterior.

Portanto, nossa configuração no Cisco ASA é que a rota padrão (0.0.0.0) é do ISP A com a métrica 1, enquanto outra rota padrão com a métrica 2 é para o ISP B.

Agora, o problema é que temos um servidor web que pode ser acessado do lado de fora através de um IP através do ISP B (nota: NAT estático configurado para mapear o IP interno do servidor web e o IP público estático do ISP B), mas aparentemente, quando este servidor responde por pedidos, eles estão saindo pelo ISP A, já que há a rota padrão.

Isso está criando muitos problemas para nós. Existe uma maneira de configurar o Cisco ASA para responder a partir do ISP B? enquanto, é claro, o tráfego geral dos usuários ainda passa pelo ISP A.

    
por StefanGrech 11.11.2014 / 09:44

2 respostas

1

Você precisa de um roteador real. Os firewalls Cisco ASA não são roteadores ...

Minhas rotas / gateways padrão em ambientes de clientes são geralmente roteadores dedicados ou switches de camada 3 que apontam todo o tráfego da Internet para um firewall (ASA) e lidam com rotas / VLANs específicas. 

ip route 0.0.0.0 0.0.0.0 192.168.2.1

Exemplo de roteamento baseado em políticas para outro locatário na mesma instalação. 

!
interface Vlan30
 description CRISTINA_DATA
 ip address 172.16.30.254 255.255.255.0
 ip policy route-map ISP2
!
access-list 100 permit ip 172.16.30.0 0.0.0.255 any
!
route-map ISP2 permit 10
 match ip address 100
 set ip default next-hop 172.16.30.1

É claro que você também tem a opção de adicionar um Balanceador de links , já que é exatamente isso que deseja aqui. Algo como um dispositivo Elfiq daria a você mais controle granular fluxos de tráfego com melhores recursos de failover, mantendo o firewall existente em vigor.

    
por 11.11.2014 / 13:41
1

Você não conseguirá obter roteamento baseado em origem para modificar a métrica de rota padrão. Você precisará usar uma forma de PBR para alcançar o que você está procurando.

Acesse o site Cisco para ler ou obter mais informações. Um barebones seria algo assim: 

access-list 1 permit <server ip>
!
interface ethernet 1
 ip policy route-map ALT_GW
!
route-map ALT_GW permit 10
 match ip address 1
 set ip next-hop <alternate gw ip>
!
    
por 11.11.2014 / 13:00

Tags

IIS 8 SSL pára de funcionar o Windows 2012 Core / etc / sysconfig / network é ignorado no CENTOS7