Cisco ASA5512xでの静的パブリックIPの問題
これが私たちのシナリオです:
Cisco ASA 5512xがあり、それに接続されている異なるISPからの2つの異なるインターネット接続があります。 ISP Aはトラフィック(通常のインターネット)を閲覧するユーザーに使用され、ISPBはサイト間トンネルおよび外部からサーバーにアクセスするための静的パブリックIPに使用されます。
したがって、Cisco ASAでの設定では、デフォルトルート(0.0.0.0)はメトリック1のISP Aからのものであり、メトリック2の別のデフォルトルートはISPB用です。
ここで問題となるのは、ISP Bを介してIP経由で外部から到達可能なWebサーバーがあることです(注:静的NATは、Webサーバーの内部IPと静的パブリックIPをマップするように構成されています) ISP B)の、しかし明らかにこのサーバーが要求に応答するとき、デフォルトのルートがあるので、これらはISPAを経由して送信されます。
これは私たちに多くの問題を引き起こしています。ISPBから応答するようにCiscoASAを設定する方法はありますか。もちろん、ユーザーの一般的なトラフィックは依然としてISPAを通過します。
標準のルートメトリックを変更することで、ソースベースのルーティングを実現することはできません。目的を達成するには、PBRの形式を使用する必要があります。
Cisco にアクセスして、詳細を確認するか、詳細情報を入手してください。ベアボーンは次のようになります。
access-list 1 permit <server ip>
!
interface ethernet 1
ip policy route-map ALT_GW
!
route-map ALT_GW permit 10
match ip address 1
set ip next-hop <alternate gw ip>
!
実際のルーターが必要です。 Cisco ASAファイアウォール ルータではありません .. ..
顧客環境での私のデフォルトルート/ゲートウェイは通常、すべてのインターネットトラフィックをファイアウォール(ASA)に向け、より具体的なルート/ VLAN自体を処理する専用ルーターまたはレイヤー3スイッチです。
ip route 0.0.0.0 0.0.0.0 192.168.2.1
同じ施設の別のテナントのポリシーベースのルーティングの例。
!
interface Vlan30
description CRISTINA_DATA
ip address 172.16.30.254 255.255.255.0
ip policy route-map ISP2
!
access-list 100 permit ip 172.16.30.0 0.0.0.255 any
!
route-map ISP2 permit 10
match ip address 100
set ip default next-hop 172.16.30.1
もちろん、 Link Balancer を追加するオプションもあります。これは、ここで本当に必要なことだからです。 Elfiqデバイス のようなものを使用すると、既存のファイアウォールを適切に維持しながら、より優れたフェイルオーバー機能を使用してトラフィックフローをより細かく制御できます。