2 ISPs no ASA 5510 (licença base) e tráfego separado por protocolo (porta). É possível?

Navegue suas respostas
2

Recebi a tarefa de configurar nosso ASA para permitir o tráfego de dois ISPs. Atualmente, o ISP1 é para email, VPN, Local de Trabalho Remoto da Web (SBS 2003) e Internet. Meu chefe gostaria que eu configurasse a interface DMZ para aceitar o tráfego HTTP e direcioná-lo para um servidor da web por dentro (como uma segunda interface externa). Eventualmente, ele gostaria que eu movesse os serviços um por um do ISP1 para o ISP2.

De tudo que li, isso não é possível. Isso parece exigir o Policy Based Routing, que o ASA não suporta. Eu encontrei isto: link . Me corrija se eu estiver errado, mas isso parece permitir conexões HTTP (S) no ISP2 que se originam de dentro, não funcionaria para hospedar um servidor web internamente, seria?

Além disso, encontrei referências à utilização de vários ISPs, mas para isso é necessário um roteador do lado de fora do ASA, como aqui: link . Como não temos roteadores extras ou switches da camada 3, essa opção não funcionará para mim também.

Alguém pode me dizer se isso é possível? Se assim for, você poderia por favor me apontar na direção certa para começar?

Obrigado a todos

    
por fourleggedfish 16.03.2011 / 15:22

1 resposta

0

Para hospedar um site, o que importa é aceitar conexões HTTP para ambos os endereços IP e responder no endereço correto. Você está certo em pensar que as soluções alternativas de roteamento encontradas não ajudarão aqui; esses ajudarão ao dividir solicitações de saída para os diferentes ISPs, mas, para isso, você deseja que as respostas sejam enviadas de volta ao ISP em que elas vieram.

A maneira mais simples de obter o endereço externo para ambos os provedores de escuta é fazer com que sejam NATs para o servidor da Web e abrir as regras de firewall para ouvir em 80 e 443.

Digamos que 2.2.2.2 é o endereço externo no ISP 1 e 3.3.3.3 é o endereço externo no ISP 2; 10.1.1.1 é o servidor da web. O jeito que você vai querer pensar é isso: 

2.2.2.2 80/443 -> NAT -> 10.1.1.1 80/443
3.3.3.3 80/443 -> NAT -> 10.1.1.1 80/443

Isso não funciona. O ASA não deixa você dobrar em um NAT como este. A solução é atribuir um segundo IP ao servidor da Web, 10.1.1.2 (e verificar se ele está atendendo a solicitações em ambos). 

2.2.2.2 80/443 -> NAT -> 10.1.1.1 80/443
3.3.3.3 80/443 -> NAT -> 10.1.1.2 80/443

Depois, certifique-se de que você tem regras que permitem 80 e 443 entradas para o endereço externo no novo NAT, e você deve estar pronto.

    
por 16.03.2011 / 17:57

Tags

ID do evento para mover uma pasta de arquivos no Server 2003 R2 “Um dispositivo conectado ao sistema não está funcionando” ao reconectar a sessão do XenApp 6