2 個 ISP 接入 ASA 5510(基本許可證)並按協議(埠)分離流量。是否可以?
我的任務是設置我們的 ASA 以允許來自兩個 ISP 的流量。目前,ISP1 用於郵件、VPN、遠端工作網站 (SBS 2003) 和網際網路。我的老闆希望我設置 DMZ 介面以接受 HTTP 流量並將其定向到內部的 Web 伺服器(如第二個外部介面)。最終,他希望我將服務從 ISP1 逐一遷移到 ISP2。
從我讀過的所有內容來看,這是不可能的。這似乎需要 ASA 不支持的基於策略的路由。我發現了這個:https ://learningnetwork.cisco.com/docs/DOC-10831 。如果我錯了,請糾正我,但這似乎允許來自內部的 ISP2 上的 HTTP(S) 連接,它不適用於在內部託管 Web 伺服器,不是嗎?
此外,我發現了使用多個 ISP 的參考資料,但這樣做需要在 ASA 外部使用路由器,如下所示: http ://www.youtube.com/watch_popup?v=2rVkUIuXEMM&vq=hd720#t=31 . 由於我們沒有額外的路由器或第 3 層交換機,因此此選項對我也不起作用。
誰能告訴我這是否可能?如果是這樣,您能否指出我正確的開始方向?
謝謝大家
對於託管網站,重要的是能夠接受傳入兩個 IP 地址的 HTTP 連接並響應正確的地址。您認為您找到的路由解決方法在這裡無濟於事,這是對的。這些將有助於將出站請求拆分到不同的 ISP,但為此,您希望將響應發送回它們所在的 ISP。
獲取兩個 ISP 偵聽的外部地址的最簡單方法是將它們都 NAT 到 Web 伺服器,並打開防火牆規則以偵聽 80 和 443。
我們會說 2.2.2.2 是 ISP 1 的外部地址,3.3.3.3 是 ISP 2 的外部地址;10.1.1.1 是網路伺服器。你要考慮的方式是這樣的:
2.2.2.2 80/443 -> NAT -> 10.1.1.1 80/443 3.3.3.3 80/443 -> NAT -> 10.1.1.1 80/443
這行不通。ASA 不會讓您在這樣的 NAT 上加倍。解決方法是為 Web 伺服器分配第二個 IP,10.1.1.2(並確保它正在偵聽兩者上的請求)。
2.2.2.2 80/443 -> NAT -> 10.1.1.1 80/443 3.3.3.3 80/443 -> NAT -> 10.1.1.2 80/443
然後只需確保您有規則允許 80 和 443 進入新 NAT 上的外部地址,您應該一切順利。