路由问题在这里。
在双ISP的情况下,有两种方法可以使用外部IP,并将它们置于更高安全级别的Web服务器上? 我遇到的问题是在ISP2的返回path。 我相信这是因为Cisco ASA的默认路由是ISP1。 所以,如果一个请求在ISP2上来的话,它会成功的触发网页服务器,但是当这个数据包被返回的时候,这个请求者不会期望的IP地址在ISP1链路上被取消和重载。
ISP方面:
ISP1 = 1.1.1.1/30 ISP2 = 2.2.2.1/30 在我身边:
interface e0/1 (ISP1) has IP 1.1.1.2 interface e0/2 (ISP2) has IP 2.2.2.2 static (dmz,ISP1) tcp interface www 10.0.0.10 www netmask 255.255.255.255 static (dmz,ISP2) tcp interface www 10.0.0.10 www netmask 255.255.255.255 show route 10.0.0.0/24, directly connected dmz 1.1.1.0/30,directly connected ISP1 2.2.2.0/30,directly connected ISP1 0.0.0.0/0, [1/0] via 1.1.1.1
有没有一种方法来标记或跟踪入站的数据包,让他们进来,并离开了相同的接口? 不pipe默认路由?
注:我正在想办法检查返回(出站数据包)源IP。 我的想法是源IP应该是ISP1或ISP2接口的IP,无论它来自哪里。 也许基于策略的路由?
你目前的设置不能达到目的。 正如你发现的那样,你将遇到不对称路由的问题,而防火墙根本就不喜欢这样的问题。
理想情况下,您需要在防火墙和ISP之间安装路由器。
ISP1 ISP2 \ / ROUTER | ASA | SERVERS
然后你有几个select;
1)路由器可以启用基于策略的路由,并通过ISP1路由器发送源自ISP1地址空间的回复stream量,并通过ISP2路由器回复源于ISP2地址空间的stream量。 如果你不关心每次只使用一个链路进行出站连接,那么PBR甚至是不必要的。
要么
2)你需要一些公共的公共地址空间,这两个ISP可以使用。 为此,您需要从您的区域互联网注册处申请一些供应商独立的地址空间 ,或者使用同一个ISP来连接您的互联网链接,并使用一些BGP魔术来将它们连接在一起。
在这两种情况下,您的防火墙应该只有一个外部接口。