Назад | Перейти на главную страницу

Dual ISP Inbound NAT - асимметричная маршрутизация

вопрос о маршрутизации здесь.

Есть ли способ использовать как внешние IP-адреса, так и подключать их к веб-серверу с более высоким уровнем безопасности в сценарии с двойным провайдером? Проблема, с которой я столкнулся, связана с обратным путем для ISP2. Я считаю, что это потому, что маршрут по умолчанию от Cisco ASA - ISP1. Таким образом, если запрос поступает на ISP2, он успешно попадает на веб-сервер (после того, как был nat'd), но когда пакет возвращается, он не принимается и перегружается по ссылке ISP1, которая является IP-адресом, которого запрашивающая сторона не ожидает.

Сторона интернет-провайдера:

ISP1 = 1.1.1.1/30
ISP2 = 2.2.2.1/30

На моей стороне:

interface e0/1 (ISP1) has IP 1.1.1.2
interface e0/2 (ISP2) has IP 2.2.2.2
static (dmz,ISP1) tcp interface www 10.0.0.10 www netmask 255.255.255.255
static (dmz,ISP2) tcp interface www 10.0.0.10 www netmask 255.255.255.255

show route
10.0.0.0/24, directly connected dmz
1.1.1.0/30,directly connected ISP1
2.2.2.0/30,directly connected ISP1
0.0.0.0/0, [1/0] via 1.1.1.1

Есть ли способ пометить или отслеживать входящие пакеты, чтобы они приходили и оставляли один и тот же интерфейс? независимо от маршрута по умолчанию?

НОТА: Я думал что-то вроде проверки в возвращаемом (исходящем пакете) IP-адреса источника. Я считаю, что исходный IP-адрес должен быть IP-адресом интерфейса ISP1 или ISP2, в зависимости от того, какой он изначально появился. Возможно, маршрутизация на основе политик?

Вы не сможете добиться этого с текущими настройками. Как вы узнаете, вы столкнетесь с проблемами с асимметричной маршрутизацией, а брандмауэрам это совсем не нравится.

В идеале вам нужен маршрутизатор, который будет находиться между вашим брандмауэром и провайдером. 

ISP1      ISP2
   \      /  
    ROUTER
      |
     ASA
      |
   SERVERS

Затем у вас есть несколько вариантов;

1) В этом маршрутизаторе может быть включена маршрутизация на основе политик, и он может отправлять ответный трафик, полученный из адресного пространства ISP1, через маршрутизатор ISP1, а ответный трафик, полученный из адресного пространства ISP2, через маршрутизатор ISP2. Если вы не заботитесь об использовании только одной ссылки для исходящего подключения, тогда PBR даже не нужен.

Или

2) вам нужно какое-то общее публичное адресное пространство, которое могут использовать оба провайдера. Для этого вам нужно либо запросить независимое от провайдера адресное пространство из вашего регионального интернет-реестра или используйте одного и того же провайдера для обеих интернет-ссылок и используйте магию BGP, чтобы связать все это вместе.

В обоих случаях ваш брандмауэр должен иметь только один внешний интерфейс.