ASA, 2 conexões WAN

Question

ASA, 2 conexões WAN

#1 resposta do (2 votos)
#2 resposta do (0 votos)

1

Preciso de ajuda sobre a configuração do firewall ASA 5505 conectado a 02 conexões wan

interface Vlan1
 nameif inside
 security-level 100
 ip address 192.168.254.1 255.255.255.252 


interface Vlan2
 description LINK TO THE OUTSIDE - INTERNET
 nameif outside
 security-level 0
 pppoe client vpdn group ******
 ip address pppoe setroute 

interface Vlan3
 description Link Wan  Router 2
 no forward interface Vlan2
 nameif outside2
 security-level 0
 ip address 192.168.50.1 255.255.255.252 

interface Ethernet0/0
 switchport access vlan 2            

interface Ethernet0/1
 switchport access vlan 3

object network obj_any
 nat (inside,outside) dynamic interface



route outside2 x.x.x.x 255.255.255.255 192.168.50.2 1
route outside2 y.y.y.y 255.255.255.255 192.168.50.2 1
route outside2 z.z.z.z 255.255.255.255 192.168.50.2 1

route 0.0.0.0 0.0.0.0 (pppoe path)  // to internet

route inside a.a.a.a 255.255.255.0 internal_gw_ip
route inside b.b.b.b 255.255.255.0 internal_gw_ip
route inside c.c.c.c 255.255.255.0 internal_gw_ip


access-list 101 extended permit ip host x.x.x.x any 
access-list 101 extended permit ip host y.y.y.y any 

access-group 101 in interface outside2

A internet funciona, mas não há comunicação entre (de dentro para fora2) ou (de fora2 para dentro)

networking cisco vlan wide-area-network cisco-asa

por mine21 27.12.2012 / 11:34

2 respostas

Tags networking cisco vlan wide-area-network cisco-asa

Quais são algumas maneiras simples de capturar falhas / quedas de rede para solicitações enviadas a um servidor sql? dell poder borda t410 HDD não mostrando

score 2 · Answer 1

Os ASAs só podem usar uma conexão WAN por vez (mesmo no firmware 9.x mais recente). Você pode configurar a redundância de WAN com sla monitor s e o argumento track para suas rotas padrão.

Por exemplo:

sla monitor 10
 type echo protocol ipIcmpEcho 8.8.8.8 interface onecomm
sla monitor schedule 10 life forever start-time now
sla monitor 20
 type echo protocol ipIcmpEcho 8.8.4.4 interface comcast
sla monitor schedule 20 life forever start-time now

route wan0 0.0.0.0 0.0.0.0 192.0.2.137 1 track 10
route wan1 0.0.0.0 0.0.0.0 198.51.100.46 2 track 20

_{Nota 1: não é necessário colocar monitores SLA em ambos, mas queria mostrá-lo no caso de alguém ver isso tem mais de 2 conexões, é muito fácil descobrir como configurar o ASA para um número arbitrário de conexões.

Nota 2: O único dano na configuração de tantos monitores quanto as conexões WAN, se ambas as conexões forem desativadas, não haverá uma rota padrão, o que é um problema se você usar destinos de monitoramento "distantes". O exemplo usa os servidores DNS do Google, que não estão nos links locais. Se você usou o DG do link, o alvo é sempre local; isso tem o trade-off de uma conexão sendo considerada "up" mesmo se houver problemas no upstream de sua conexão ...}

Os ASAs TL, DR não podem fazer balanceamento de carga em várias conexões WAN. A única redundância de suporte. Existem outros dispositivos disponíveis que podem fazer balanceamento de carga, é claro ...

score 0 · Answer 2

Você recebeu a declaração nat correspondente para seu link do outside2? você só tem um na configuração que você postou. você precisaria disso:

object network obj_any2
 nat (inside,outside2) dynamic interface

Contanto que você tenha a licença de segurança mais, você poderá usar rotas para permitir que o tráfego passe pelas duas interfaces conforme você configurou.