Cisco
雙 ISP 入站 NAT – 非對稱路由
路由問題在這裡。
在雙 ISP 場景中,有沒有辦法同時使用外部 IP 並將它們 nat 到更高安全級別的 Web 伺服器?我遇到的問題是在 ISP2 的返迴路徑上。我相信這是因為來自 Cisco ASA 的預設路由是 ISP1。因此,如果一個請求來自 ISP2,它會成功訪問 Web 伺服器(在被 nat’d 之後),但是當數據包返回時,它會在 ISP1 連結上變得未處理並過載,這是請求者不期望的 IP。
ISP端:
ISP1 = 1.1.1.1/30 ISP2 = 2.2.2.1/30
在我這邊:
interface e0/1 (ISP1) has IP 1.1.1.2 interface e0/2 (ISP2) has IP 2.2.2.2 static (dmz,ISP1) tcp interface www 10.0.0.10 www netmask 255.255.255.255 static (dmz,ISP2) tcp interface www 10.0.0.10 www netmask 255.255.255.255 show route 10.0.0.0/24, directly connected dmz 1.1.1.0/30,directly connected ISP1 2.2.2.0/30,directly connected ISP1 0.0.0.0/0, [1/0] via 1.1.1.1
有沒有辦法標記或跟踪入站數據包,以便它們進入並離開相同的介面?不管預設路由如何?
**注意:**我正在考慮檢查返回(出站數據包)源IP的內容。我的想法是源 IP 應該是 ISP1 或 ISP2 介面的 IP,無論它首先出現。也許是基於策略的路由?
您將無法使用目前設置實現此目的。正如您所發現的,您將遇到非對稱路由問題,而防火牆根本不喜歡這樣。
理想情況下,您需要一個路由器位於防火牆和 ISP 之間。
ISP1 ISP2 \ / ROUTER | ASA | SERVERS
然後你有幾個選擇;
- 然後,該路由器可以啟用基於策略的路由,並通過 ISP1 路由器發送來自 ISP1 地址空間的回复流量,並通過 ISP2 路由器回復來自 ISP2 地址空間的流量。如果您不關心一次只使用一個連結進行出站連接,那麼甚至不需要 PBR。
或者
2)您需要一些兩個 ISP 都可以使用的公共地址空間。為此,您需要從您的區域網際網路註冊中心請求一些獨立於提供商的地址空間 ,或者為您的兩個網際網路連結使用相同的 ISP,並使用一些 BGP 魔法將它們捆綁在一起。
在這兩種情況下,您的防火牆都應該只有一個外部介面。