Это наш сценарий:
У нас есть Cisco ASA 5512x, и к нему подключены 2 разных интернет-соединения от разных интернет-провайдеров. ISP A используется для пользователей, просматривающих трафик (обычный Интернет), в то время как ISP B используется для туннелей между сайтами, а также для статических общедоступных IP-адресов для доступа к серверам извне.
Итак, наша конфигурация на Cisco ASA такова, что маршрут по умолчанию (0.0.0.0) идет от ISP A с метрикой 1, в то время как другой маршрут по умолчанию с метрикой 2 предназначен для ISP B.
Теперь проблема в том, что у нас есть веб-сервер, доступный извне через IP-адрес через ISP B (примечание: статический NAT настроен для сопоставления внутреннего IP-адреса веб-сервера и статического общедоступного IP-адреса ISP B), но, очевидно, когда это сервер отвечает на запросы, они исходят через ISP A, поскольку существует маршрут по умолчанию.
Это создает для нас много проблем .. Есть ли способ настроить Cisco ASA для ответа от ISP B? в то время как, конечно, общий трафик пользователей все еще проходит через ISP A.
Вам нужен настоящий роутер. Межсетевые экраны Cisco ASA не маршрутизаторы...
Мои маршруты / шлюзы по умолчанию в клиентских средах обычно представляют собой выделенные маршрутизаторы или коммутаторы уровня 3, которые направляют весь интернет-трафик на межсетевой экран (ASA) и сами обрабатывают любые более конкретные маршруты / VLAN.
ip route 0.0.0.0 0.0.0.0 192.168.2.1
Пример маршрутизации на основе политик для другого арендатора на том же объекте.
!
interface Vlan30
description CRISTINA_DATA
ip address 172.16.30.254 255.255.255.0
ip policy route-map ISP2
!
access-list 100 permit ip 172.16.30.0 0.0.0.255 any
!
route-map ISP2 permit 10
match ip address 100
set ip default next-hop 172.16.30.1
Конечно, у вас также есть возможность добавить Link Balancer, так как это действительно то, что вам здесь нужно. Что-то вроде Устройство Elfiq предоставит вам более детальный контроль над потоками трафика с лучшими возможностями аварийного переключения при сохранении существующего межсетевого экрана.
Вы не сможете достичь маршрутизации на основе источника без изменения стандартной метрики маршрута. Вам нужно будет использовать форму PBR, чтобы достичь того, чего вы хотите.
Перейти к Cisco чтобы прочитать об этом или получить дополнительную информацию. Баребоны будут примерно такими:
access-list 1 permit <server ip>
!
interface ethernet 1
ip policy route-map ALT_GW
!
route-map ALT_GW permit 10
match ip address 1
set ip next-hop <alternate gw ip>
!