Мне было поручено настроить ASA для разрешения трафика от двух интернет-провайдеров. В настоящее время ISP1 предназначен для почты, VPN, рабочего места в Интернете (SBS 2003) и Интернета. Мой босс хотел бы, чтобы я настроил интерфейс DMZ для приема HTTP-трафика и направления его на внутренний веб-сервер (например, второй внешний интерфейс). В конце концов, он хотел бы, чтобы я перемещал службы одну за другой с ISP1 на ISP2.
Судя по всему, что я читал, это невозможно. Казалось бы, потребуется маршрутизация на основе политик, которую ASA не поддерживает. Я нашел вот это: https://learningnetwork.cisco.com/docs/DOC-10831. Поправьте меня, если я ошибаюсь, но это, похоже, разрешает соединения HTTP (S) на ISP2, которые исходят изнутри, это не сработает для внутреннего размещения веб-сервера, не так ли?
Кроме того, я нашел ссылки на использование нескольких интернет-провайдеров, но для этого требуется маршрутизатор вне ASA, как здесь: http://www.youtube.com/watch_popup?v=2rVkUIuXEMM&vq=hd720#t=31. Поскольку у нас нет дополнительных маршрутизаторов или коммутаторов уровня 3, этот вариант мне тоже не подойдет.
Кто-нибудь может сказать мне, возможно ли это вообще? Если да, не могли бы вы указать мне правильное направление, чтобы начать?
Спасибо всем
Для хостинга веб-сайта важна возможность принимать HTTP-соединения, поступающие на оба IP-адреса, и отвечать по правильному адресу. Вы правы, думая, что найденные вами обходные пути маршрутизации здесь не помогут; они помогут при разделении исходящих запросов между разными интернет-провайдерами, но для этой цели вам нужно, чтобы ответы отправлялись обратно тому интернет-провайдеру, к которому они пришли.
Самый простой способ получить внешний адрес для обоих прослушивающих Интернет-провайдеров - подключить их обоих через NAT к веб-серверу и открыть правила брандмауэра для прослушивания на 80 и 443.
Мы скажем, что 2.2.2.2 - это внешний адрес ISP 1, а 3.3.3.3 - внешний адрес ISP 2; 10.1.1.1 - это веб-сервер. Вы хотите думать об этом так:
2.2.2.2 80/443 -> NAT -> 10.1.1.1 80/443
3.3.3.3 80/443 -> NAT -> 10.1.1.1 80/443
Это не работает. ASA не позволит вам удвоить такой NAT. Обходной путь - назначить второй IP-адрес веб-серверу, 10.1.1.2 (и убедиться, что он прослушивает запросы на обоих).
2.2.2.2 80/443 -> NAT -> 10.1.1.1 80/443
3.3.3.3 80/443 -> NAT -> 10.1.1.2 80/443
Затем просто убедитесь, что у вас есть правила, разрешающие 80 и 443 на внешний адрес на новом NAT, и все будет в порядке.