デュアルISPインバウンドNAT-非対称ルーティング
ここでルーティングの質問。
デュアルISPシナリオでは、両方の外部IPを使用し、それらをより高いセキュリティレベルのWebサーバーにNAT変換する方法はありますか?私が直面している問題は、ISP2のリターンパスにあります。 CiscoASAからのデフォルトルートがISP1であるためだと思います。したがって、リクエストがISP2で受信された場合、(NAT処理された後)Webサーバーに正常にヒットしますが、パケットが返されると、パケットは取得されず、リクエスターが予期していないIPであるISP1リンクを介して過負荷になります。
ISP側:
ISP1 = 1.1.1.1/30
ISP2 = 2.2.2.1/30
私の側:
interface e0/1 (ISP1) has IP 1.1.1.2
interface e0/2 (ISP2) has IP 2.2.2.2
static (dmz,ISP1) tcp interface www 10.0.0.10 www netmask 255.255.255.255
static (dmz,ISP2) tcp interface www 10.0.0.10 www netmask 255.255.255.255
show route
10.0.0.0/24, directly connected dmz
1.1.1.0/30,directly connected ISP1
2.2.2.0/30,directly connected ISP1
0.0.0.0/0, [1/0] via 1.1.1.1
インバウンドパケットにタグを付けたり追跡したりして、同じインターフェイスを受信および除外する方法はありますか?デフォルトルートに関係なく?
注:ソースIPのリターン(アウトバウンドパケット)をチェックインするという方針に沿って何かを考えていました。私の考えでは、ソースIPは、ISP1またはISP2インターフェイスのどちらか最初に入力されたIPのIPである必要があります。おそらくポリシーベースのルーティング?
現在の設定ではこれを達成することはできません。あなたが知っているように、あなたは非対称ルーティングの問題に遭遇するでしょう、そしてファイアウォールはそれをまったく好きではありません。
理想的には、ファイアウォールとISPの間にルーターを配置する必要があります。
ISP1 ISP2
\ /
ROUTER
|
ASA
|
SERVERS
次に、いくつかのオプションがあります。
1)そのルーターは、ポリシーベースのルーティングを有効にして、ISP1アドレス空間から発信された応答トラフィックをISP1ルーター経由で送信し、ISP2アドレス空間から発信された応答トラフィックをISP2ルーター経由で送信できます。アウトバウンド接続に一度に1つのリンクのみを使用する必要がない場合は、PBRも必要ありません。
または
2)両方のISPが使用できる共通のパブリックアドレス空間が必要です。そのためには、地域のインターネットレジストリから プロバイダー非依存アドレス空間 を要求するか、両方のインターネットリンクに同じISPを使用し、BGPマジックを使用してすべてを結び付ける必要があります。 。
どちらの場合も、ファイアウォールには外部インターフェイスが1つだけ必要です。