web-dev-qa-db-ja.com

デュアルISPインバウンドNAT-非対称ルーティング

ここでルーティングの質問。

デュアルISPシナリオでは、両方の外部IPを使用し、それらをより高いセキュリティレベルのWebサーバーにNAT変換する方法はありますか?私が直面している問題は、ISP2のリターンパスにあります。 CiscoASAからのデフォルトルートがISP1であるためだと思います。したがって、リクエストがISP2で受信された場合、(NAT処理された後)Webサーバーに正常にヒットしますが、パケットが返されると、パケットは取得されず、リクエスターが予期していないIPであるISP1リンクを介して過負荷になります。

ISP側:

ISP1 = 1.1.1.1/30
ISP2 = 2.2.2.1/30

私の側:

interface e0/1 (ISP1) has IP 1.1.1.2
interface e0/2 (ISP2) has IP 2.2.2.2
static (dmz,ISP1) tcp interface www 10.0.0.10 www netmask 255.255.255.255
static (dmz,ISP2) tcp interface www 10.0.0.10 www netmask 255.255.255.255

show route
10.0.0.0/24, directly connected dmz
1.1.1.0/30,directly connected ISP1
2.2.2.0/30,directly connected ISP1
0.0.0.0/0, [1/0] via 1.1.1.1

インバウンドパケットにタグを付けたり追跡したりして、同じインターフェイスを受信および除外する方法はありますか?デフォルトルートに関係なく?

注:ソースIPのリターン(アウトバウンドパケット)をチェックインするという方針に沿って何かを考えていました。私の考えでは、ソースIPは、ISP1またはISP2インターフェイスのどちらか最初に入力されたIPのIPである必要があります。おそらくポリシーベースのルーティング?

2
Jim

現在の設定ではこれを達成することはできません。あなたが知っているように、あなたは非対称ルーティングの問題に遭遇するでしょう、そしてファイアウォールはそれをまったく好きではありません。

理想的には、ファイアウォールとISPの間にルーターを配置する必要があります。

ISP1      ISP2
   \      /  
    ROUTER
      |
     ASA
      |
   SERVERS

次に、いくつかのオプションがあります。

1)そのルーターは、ポリシーベースのルーティングを有効にして、ISP1アドレス空間から発信された応答トラフィックをISP1ルーター経由で送信し、ISP2アドレス空間から発信された応答トラフィックをISP2ルーター経由で送信できます。アウトバウンド接続に一度に1つのリンクのみを使用する必要がない場合は、PBRも必要ありません。

または

2)両方のISPが使用できる共通のパブリックアドレス空間が必要です。そのためには、地域のインターネットレジストリから プロバイダー非依存アドレス空間 を要求するか、両方のインターネットリンクに同じISPを使用し、BGPマジックを使用してすべてを結び付ける必要があります。 。

どちらの場合も、ファイアウォールには外部インターフェイスが1つだけ必要です。

0
paulos