web-dev-qa-db-ja.com

Cisco ASA5512xでの静的パブリックIPの問題

これが私たちのシナリオです:

Cisco ASA 5512xがあり、それに接続されている異なるISPからの2つの異なるインターネット接続があります。 ISP Aはトラフィック(通常のインターネット)を閲覧するユーザーに使用され、ISPBはサイト間トンネルおよび外部からサーバーにアクセスするための静的パブリックIPに使用されます。

したがって、Cisco ASAでの設定では、デフォルトルート(0.0.0.0)はメトリック1のISP Aからのものであり、メトリック2の別のデフォルトルートはISPB用です。

ここで問題となるのは、ISP Bを介してIP経由で外部から到達可能なWebサーバーがあることです(注:静的NATは、Webサーバーの内部IPと静的パブリックIPをマップするように構成されています) ISP B)の、しかし明らかにこのサーバーが要求に応答するとき、デフォルトのルートがあるので、これらはISPAを経由して送信されます。

これは私たちに多くの問題を引き起こしています。ISPBから応答するようにCiscoASAを設定する方法はありますか。もちろん、ユーザーの一般的なトラフィックは依然としてISPAを通過します。

3
StefanGrech

標準のルートメトリックを変更することで、ソースベースのルーティングを実現することはできません。目的を達成するには、PBRの形式を使用する必要があります。

Cisco にアクセスして、詳細を確認するか、詳細情報を入手してください。ベアボーンは次のようになります。

access-list 1 permit <server ip>
!
interface ethernet 1
 ip policy route-map ALT_GW
!
route-map ALT_GW permit 10
 match ip address 1
 set ip next-hop <alternate gw ip>
!
1
Ryan Foley

実際のルーターが必要です。 Cisco ASAファイアウォール ルータではありません .. ..

顧客環境での私のデフォルトルート/ゲートウェイは通常、すべてのインターネットトラフィックをファイアウォール(ASA)に向け、より具体的なルート/ VLAN自体を処理する専用ルーターまたはレイヤー3スイッチです。

ip route 0.0.0.0 0.0.0.0 192.168.2.1 

同じ施設の別のテナントのポリシーベースのルーティングの例。

!
interface Vlan30
 description CRISTINA_DATA
 ip address 172.16.30.254 255.255.255.0
 ip policy route-map ISP2
!
access-list 100 permit ip 172.16.30.0 0.0.0.255 any
!
route-map ISP2 permit 10
 match ip address 100
 set ip default next-hop 172.16.30.1

もちろん、 Link Balancer を追加するオプションもあります。これは、ここで本当に必要なことだからです。 Elfiqデバイス のようなものを使用すると、既存のファイアウォールを適切に維持しながら、より優れたフェイルオーバー機能を使用してトラフィックフローをより細かく制御できます。

1
ewwhite