В моей сети есть Cisco ASA 55x0 с «внутренним» интерфейсом (сеть 192.168.79.0/24) и «внешним» интерфейсом (сеть 89.x.x.48 / 29)
Есть такое физическое правило:
object network NAToutside
nat (inside,outside) dynamic interface
и статический маршрут
route outside 0.0.0.0 0.0.0.0 89.x.x.49 1
и все правила ACL. Теперь у меня есть еще одна новая внешняя сеть от другого интернет-провайдера под названием «outside2», эта сеть уже подключена, и Cisco ASA входит в сеть 192.168.70.0/24. Я бы использовал эту сеть как резервную. Итак, я установил правило нат:
object network NAToutside2
nat (inside,outside2) dynamic interface
и статический маршрут с другой метрикой
route outside2 0.0.0.0 0.0.0.0 192.168.70.1 2
Ясно, что это не работает: когда я отсоединяю внешний кабель Ethernet, никакая рабочая станция не может подключиться к Интернету через внешнюю2 сеть ... Что мне еще нужно?
Нашел решение! В Cisco каждый статический маршрут не может быть всегда активен, единственный способ использовать вторичный маршрут аварийного переключения - это использование SLA.
Это объясняется здесь: