我一直负责设置我们的ASA,以允许来自两个ISP的stream量。 目前,ISP1用于邮件,VPN,远程工作网站(SBS 2003)和互联网。 我的老板想让我设置DMZ接口来接受HTTPstream量,并将其引导到内部的Web服务器(如第二个外部接口)。 最后,他希望我把服务从ISP1一个接一个地移到ISP2。
从我读过的一切,这是不可能的。 这似乎需要ASA不支持的基于策略的路由。 我find了这个: https : //learningnetwork.cisco.com/docs/DOC-10831 。 纠正我,如果我错了,但这似乎允许HTTP(S)连接在ISP2从内部发起,它不会工作内部托pipe一个Web服务器,是吗?
另外,我发现使用多个ISP的参考,但要做到这一点,需要在ASA外部的路由器,如下所示: http : //www.youtube.com/watch_popup?v= 2rVkUIuXEMM&vq=hd720#t =31 。 由于我们没有额外的路由器或三层交换机,所以这个选项也不适用于我。
有人可以告诉我这是甚么可能吗? 如果是这样的话,请你指点我正确的方向开始?
感谢大家
对于托pipe一个网站,重要的是能够接受进入这两个IP地址的HTTP连接并响应正确的地址。 你是对的,认为你find的路由变通办法在这里没有帮助; 这些将在将出站请求拆分到不同的ISP时有所帮助,但为此,您需要在ISP上发回的响应。
获取两个ISP的外部地址最简单的方法是让他们都NAT到networking服务器,并打开防火墙规则听80和443。
我们会说2.2.2.2是ISP 1上的外部地址,3.3.3.3是ISP 2上的外部地址; 10.1.1.1是Web服务器。 你想要考虑的方式是这样的:
2.2.2.2 80/443 -> NAT -> 10.1.1.1 80/443 3.3.3.3 80/443 -> NAT -> 10.1.1.1 80/443 这不起作用。 ASA不会让你像这样在NAT上翻倍。 解决方法是将第二个IP分配给Web服务器10.1.1.2(并确保它正在侦听这两个请求)。
2.2.2.2 80/443 -> NAT -> 10.1.1.1 80/443 3.3.3.3 80/443 -> NAT -> 10.1.1.2 80/443
那么只要确保你有规则允许80和443到新的NAT的外部地址,你应该很好去。