Назад | Перейти на главную страницу

Настройка ASA для направления трафика с определенных портов на определенный внешний интерфейс

У меня есть два внешних интерфейса, A и B. Допустим, я хочу, чтобы весь трафик, входящий или исходящий через порты 1000 и 2000, направлялся на A, а весь остальной трафик должен идти на B.

Итак, клиент обращается к веб-странице (80 или 443). Это выходит через B. Клиент получает доступ к порту 1000. Это выходит через A.

Почти. PBR - это особенность Cisco IOS (маршрутизаторы и коммутаторы). У ASA есть средства для выполнения того, что вы пытаетесь сделать. ASA называет это «Policy NAT».

Политика NAT просто использует список доступа в рамках обычного статического или динамического NAT. Это дает вам гораздо больше гибкости в определении того, «что» вы пытаетесь использовать для NAT. В обычном статическом / динамическом NAT единственным критерием, который вы должны указать, какой NAT следует использовать, является исходный IP-адрес. С политикой NAT у вас есть список доступа, который позволяет использовать исходный IP, и Порт источника, IP-адрес назначения, порт назначения и протокол.


Однако при втором чтении выясняется, что вас интересует не NAT, а маршрутизация. Это довольно странно. Будет ли соединение с портом 1000/2000, которое должно выходить из интерфейса A, к определенному IP или сети? Обычно порты не используются для определения того, куда идет трафик. Если бы вы могли предоставить дополнительные сведения о том, что вы пытаетесь достичь, я уверен, что мы могли бы придумать что-нибудь, что можно учесть.

Похоже, вы ищете маршрутизацию на основе политик (PBR). Это не поддерживается на ASA, вам придется использовать устройство Cisco IOS (маршрутизатор или коммутатор) для использования PBR. http://www.cisco.com/en/US/products/hw/vpndevc/ps2030/products_qanda_item09186a00805b87d8.shtml#supportfeat (на ASA нет PBR).

Мы использовали PBR на маршрутизаторе Cisco 1841, чтобы упростить переход при смене провайдера. http://www.cisco.com/en/US/products/ps6599/products_white_paper09186a00800a4409.shtml (Документ PBR для IOS).