Мне нужна помощь в настройке межсетевого экрана ASA 5505, подключенного к 02 WAN-соединениям
interface Vlan1
nameif inside
security-level 100
ip address 192.168.254.1 255.255.255.252
interface Vlan2
description LINK TO THE OUTSIDE - INTERNET
nameif outside
security-level 0
pppoe client vpdn group ******
ip address pppoe setroute
interface Vlan3
description Link Wan Router 2
no forward interface Vlan2
nameif outside2
security-level 0
ip address 192.168.50.1 255.255.255.252
interface Ethernet0/0
switchport access vlan 2
interface Ethernet0/1
switchport access vlan 3
object network obj_any
nat (inside,outside) dynamic interface
route outside2 x.x.x.x 255.255.255.255 192.168.50.2 1
route outside2 y.y.y.y 255.255.255.255 192.168.50.2 1
route outside2 z.z.z.z 255.255.255.255 192.168.50.2 1
route 0.0.0.0 0.0.0.0 (pppoe path) // to internet
route inside a.a.a.a 255.255.255.0 internal_gw_ip
route inside b.b.b.b 255.255.255.0 internal_gw_ip
route inside c.c.c.c 255.255.255.0 internal_gw_ip
access-list 101 extended permit ip host x.x.x.x any
access-list 101 extended permit ip host y.y.y.y any
access-group 101 in interface outside2
Интернет работает, но нет связи между (внутри и снаружи2) или (снаружи2 внутрь)
ASA может использовать только одно WAN-соединение за раз (даже в последней прошивке 9.x). Вы можете настроить резервирование WAN с помощью sla monitors и track аргумент ваших маршрутов по умолчанию.
Например:
sla monitor 10
type echo protocol ipIcmpEcho 8.8.8.8 interface onecomm
sla monitor schedule 10 life forever start-time now
sla monitor 20
type echo protocol ipIcmpEcho 8.8.4.4 interface comcast
sla monitor schedule 20 life forever start-time now
route wan0 0.0.0.0 0.0.0.0 192.0.2.137 1 track 10
route wan1 0.0.0.0 0.0.0.0 198.51.100.46 2 track 20
Примечание 1. Нет необходимости устанавливать мониторы SLA на обоих, но хотелось показать это на случай, если кто-то увидит это, имеет более двух подключений, довольно легко понять, как настроить ASA для произвольного количества подключений.
Примечание 2: Единственный вред в настройке такого количества мониторов, сколько у вас есть подключений WAN, если оба подключения выйдут из строя, не будет маршрута по умолчанию, что является проблемой, если вы используете «дальние» цели мониторинга. В примере используются DNS-серверы Google, которых нет в локальных ссылках. Если вы использовали DG ссылки, то цель всегда локальная; в этом случае соединение считается "работающим", даже если есть проблемы выше вашего соединения ...
TL; DR ASA не может выполнять балансировку нагрузки между несколькими подключениями WAN. Единственная поддержка избыточности. Конечно, есть и другие устройства, которые могут выполнять балансировку нагрузки ...
У вас есть соответствующий оператор nat для вашей внешней2 ссылки? у вас есть только один в конфигурации, которую вы разместили. вам понадобится это:
object network obj_any2
nat (inside,outside2) dynamic interface
Пока у вас есть лицензия «Безопасность плюс», вы сможете использовать маршруты, позволяющие трафику проходить через оба интерфейса, как вы настроили.