这是我们的场景:
我们有一个Cisco ASA 5512x,我们有来自不同ISP连接的2个不同的互联网连接。 ISP A用于浏览stream量的用户(普通互联网),ISP B用于站点到站点隧道,静态公共IP用于从外部访问服务器。
因此,我们在Cisco ASA上的configuration是,默认路由(0.0.0.0)来自ISP A,其度量值为1,而另一个具有度量值2的默认路由为ISP B.
现在的问题是,我们有一个Web服务器可以通过ISP从外部通过ISP B(注意:静态NATconfiguration为映射web服务器的内部IP和ISP B的静态公共IP),但显然当这个服务器响应请求,这些通过ISP A出去,因为有默认路由。
这给我们造成了很多问题。有没有办法configuration思科ASA从ISP B回复? 而用户一般stream量仍然通过ISP A。
您将无法实现基于源代码的路由,而无法修改标准路由指标。 你需要使用一种PBRforms来实现你要做的事情。
放到思科上来阅读或获取更多信息。 准系统会是这样的:
access-list 1 permit <server ip> ! interface ethernet 1 ip policy route-map ALT_GW ! route-map ALT_GW permit 10 match ip address 1 set ip next-hop <alternate gw ip> ! 你需要一个真正的路由器。 思科ASA防火墙不是路由器 …
客户环境中的默认路由/网关通常是专用路由器或三层交换机,它们将所有互联网stream量指向防火墙(ASA),并自行处理任何更具体的路由/ VLAN。
ip route 0.0.0.0 0.0.0.0 192.168.2.1
另一位租户在同一设施的基于策略的路由示例。
! interface Vlan30 description CRISTINA_DATA ip address 172.16.30.254 255.255.255.0 ip policy route-map ISP2 ! access-list 100 permit ip 172.16.30.0 0.0.0.255 any ! route-map ISP2 permit 10 match ip address 100 set ip default next-hop 172.16.30.1
当然,你也可以select添加一个链接平衡器 ,因为这真的是你想要的。 就像Elfiq设备一样,您可以更好地控制stream量,实现更好的故障转移function,同时保留现有的防火墙。