我需要关于连接到02 wan连接的configuration防火墙ASA 5505的帮助
interface Vlan1 nameif inside security-level 100 ip address 192.168.254.1 255.255.255.252 interface Vlan2 description LINK TO THE OUTSIDE - INTERNET nameif outside security-level 0 pppoe client vpdn group ****** ip address pppoe setroute interface Vlan3 description Link Wan Router 2 no forward interface Vlan2 nameif outside2 security-level 0 ip address 192.168.50.1 255.255.255.252 interface Ethernet0/0 switchport access vlan 2 interface Ethernet0/1 switchport access vlan 3 object network obj_any nat (inside,outside) dynamic interface route outside2 xxxx 255.255.255.255 192.168.50.2 1 route outside2 yyyy 255.255.255.255 192.168.50.2 1 route outside2 zzzz 255.255.255.255 192.168.50.2 1 route 0.0.0.0 0.0.0.0 (pppoe path) // to internet route inside aaaa 255.255.255.0 internal_gw_ip route inside bbbb 255.255.255.0 internal_gw_ip route inside cccc 255.255.255.0 internal_gw_ip access-list 101 extended permit ip host xxxx any access-list 101 extended permit ip host yyyy any access-group 101 in interface outside2 互联网工作,但没有沟通(内部到外部2)或(外部2到内部)
ASA一次只能使用一个WAN连接(即使是最新的9.x固件)。 您可以使用sla monitorconfigurationWAN冗余,并将track参数configuration为默认路由。
例如:
sla monitor 10 type echo protocol ipIcmpEcho 8.8.8.8 interface onecomm sla monitor schedule 10 life forever start-time now sla monitor 20 type echo protocol ipIcmpEcho 8.8.4.4 interface comcast sla monitor schedule 20 life forever start-time now route wan0 0.0.0.0 0.0.0.0 192.0.2.137 1 track 10 route wan1 0.0.0.0 0.0.0.0 198.51.100.46 2 track 20
注1:没有必要把SLA监视器都放在这两个监视器上,但是如果有人看到这个监视器有两个以上的连接,就很容易想出如何为任意数量的连接configurationASA。
注2:configuration尽可能多的监视器是唯一的问题,因为您有广域网连接,如果两个连接都断开,那么就没有默认路由,如果使用“远”监视目标,这是一个问题。 该示例使用Google的DNS服务器,这些服务器不在本地链接上。 如果您使用链接的DG,那么目标始终是本地的; 这有一个连接被认为是“up”的权衡,即使在你的连接上游有问题…
TL; DR ASA不能在多个WAN连接之间进行负载平衡。 唯一的支持冗余。 还有其他可用的设备,当然可以做负载平衡…
你有你的outer2链接匹配的NAT语句吗? 你只有一个在你发布的configuration。 你需要这个:
object network obj_any2 nat (inside,outside2) dynamic interface
只要您具有安全加许可证,您就可以使用路由来允许stream量按照您的configuration通过两个接口。