NAT de entrada do ISP duplo - roteamento assimétrico

Question

NAT de entrada do ISP duplo - roteamento assimétrico

#1 resposta do (0 votos)

2

pergunta de roteamento aqui.

Em um cenário de ISP duplo, existe uma maneira de usar IPs externos e nat-los para um servidor da Web em um nível de segurança mais alto? O problema que estou encontrando está no caminho de retorno do ISP2. Eu acredito que é porque a rota padrão do Cisco ASA é ISP1. Então, se uma requisição chega no ISP2, ela atinge o servidor web com sucesso (depois de ser nat'd), mas quando o pacote é retornado, ele fica unat'd e sobrecarregado pelo link ISP1, que é um IP que o solicitante não espera. / p>

Lado do ISP:

ISP1 = 1.1.1.1/30
ISP2 = 2.2.2.1/30

Do meu lado:

interface e0/1 (ISP1) has IP 1.1.1.2
interface e0/2 (ISP2) has IP 2.2.2.2
static (dmz,ISP1) tcp interface www 10.0.0.10 www netmask 255.255.255.255
static (dmz,ISP2) tcp interface www 10.0.0.10 www netmask 255.255.255.255

show route
10.0.0.0/24, directly connected dmz
1.1.1.0/30,directly connected ISP1
2.2.2.0/30,directly connected ISP1
0.0.0.0/0, [1/0] via 1.1.1.1

Existe uma maneira de marcar ou rastrear pacotes de entrada para que eles entrem e deixem de fora a mesma interface? independentemente da rota padrão?

NOTA: Eu estava pensando em algo como verificar o retorno (pacote de saída) do IP de origem. Meus pensamentos são de que o IP de origem deve ser o IP da interface ISP1 ou ISP2, o que vier em primeiro lugar. Talvez o roteamento baseado em políticas?

cisco routing nat cisco-asa

por Jim 21.11.2013 / 16:03

1 resposta

Tags cisco routing nat cisco-asa

Razão para o alto tempo de CPU ao executar fio Permitir que os usuários criem salas, mas impedir que eles alterem a configuração da sala

score 0 · Accepted Answer

Você não conseguirá isso com sua configuração atual. Como você está descobrindo, você vai ter problemas com o roteamento assimétrico, e os firewalls não gostam disso.

Idealmente, você precisa de um roteador para se sentar entre o seu firewall e o seu ISP.

ISP1      ISP2
   \      /  
    ROUTER
      |
     ASA
      |
   SERVERS

Você tem algumas opções;

1) Esse roteador pode ter o roteamento baseado em diretivas ativado e enviar o tráfego de resposta originado com o espaço de endereçamento ISP1 através do roteador ISP1 e responder ao tráfego originado com o espaço de endereçamento ISP2 através do roteador ISP2. Se você não se importar em usar apenas um link de cada vez para conectividade de saída, o PBR não será necessário.

Ou

2) você precisa de algum espaço comum de endereço público que ambos os ISPs possam usar. Para esse fim, você precisará solicitar um espaço de endereço independente do provedor seu registro de internet regional, ou use o mesmo ISP para ambos os seus links de internet, e use um pouco de magia BGP para amarrá-lo todos juntos.

Em ambos os casos, seu firewall deve ter apenas uma interface externa.