 ASA 5505 + Cisco 1841 + 2ISP,  s0ulflames, 21-Фев-14, 09:55 [смотреть все]Доброго времени суток, уважаемые эксперты!Столкнулся с задачей - никак не могу решить, какой-то творческий ступор :) Буду признателен за подсказку, в каком направлении двигаться. Суть следующая.
Есть ASA5505 (9.0) и DMZ за ней, в которой стоит сервер. Есть 2 провайдера. Задача - сделать сервер в DMZ доступным одновременно с интернета с двух провайдеров. То есть не failover, когда один линк падает - юзать второй, а именно чтобы можно было одновременно зайти с двух провайдеров с любой точки интернета. И вот тут я не совсем понимаю, как правильно делать. У меня есть Cisco 1841 с двумя интерфейсами. Я завел на один интерфейс (f0/1) 2 прова виланами, а второй (f0/0) соединил с outside ASA. Я понимаю, как работает PBR и умею его настраивать. Я пробросил на 1841 static NAT с обоих провов на outside АСЫ, но теперь мне нужно как-то заставить Асу хитро натить трафик дальше в DMZ на сервер и обратно, и здесь возникли проблемы. Никак не могу понять, как правильно делать. Написать на сетевую карту сервера 2 ip и натить трафик на них - типа с кажлдого прова на свой айпи? Или можно как-то еще сделать? Пробовал виланами дальше через асу пробросить полностью до сервера 2 провайдера, не получилось, опять же - надо, чтобы АСА умела PBR. Никак не могу понять, какой тип ната использовтаь на асе, и как топологически это должно правильно выглядеть. буду признателен, если кто-то на словах или на схеме просто объяснит, какие технологии использовать и как это все в прицниеп правильно должно выглядеть. Заранее огромное спасибо, любую дополнительную инфу предоставлю по запросу. Конфиги есть, но кусочные, так как долго мучался и наконфигурил там сейчас нечто сумбурное :)
|
- ASA 5505 + Cisco 1841 + 2ISP, alecx_, 10:40 , 21-Фев-14 (1)
Главная проблема такой топологии - обратный трафик, и если только для резервирования (работа через 1го провайдера) она в принципе решаема (пример: http://habrahabr.ru/post/80555/), то при одновременной работе 2х провайдеров без белых IP за 1841 и BGP возникают проблемы. Я бы посмотрел в сторону поднятия 2х серверов (тем более в свете развития виртуализации проблем с этим быть не должно).
- ASA 5505 + Cisco 1841 + 2ISP, GolDi, 14:01 , 21-Фев-14 (2)
> Главная проблема такой топологии - обратный трафик, и если только для резервирования
> (работа через 1го провайдера) она в принципе решаема (пример: http://habrahabr.ru/post/80555/),
> то при одновременной работе 2х провайдеров без белых IP за 1841
> и BGP возникают проблемы. Я бы посмотрел в сторону поднятия 2х
> серверов (тем более в свете развития виртуализации проблем с этим быть
> не должно).Упростите схему удалением NAT-а на ACE.
- ASA 5505 + Cisco 1841 + 2ISP, ShyLion, 11:24 , 24-Фев-14 (3)
На сервере 2 приватных IP.
Асю на помойку, на кисе использовать Zone Based Firewall.
На кисе PBR + NAT, с одного оператора на первый приватный IP сервера, со второго на второй.
- ASA 5505 + Cisco 1841 + 2ISP, s0ulflames, 14:56 , 03-Мрт-14 (4)
В результате удалось-таки реализовать. Схема та же, провы приходят виланами, проброшен статик нат с каждого прова на свой внутренний айпи - 172.30.210.3 и 210.4. На интерфейсе асы - 210.2, то есть я начу с циски дестинатион в айпи, которых нет вообще на интерфейсе асы. На асе создаю объекты на целевой сервак - для каждого прова свой айпи, на серваке вешаю ОБА этих айпи на сетевую карту. Далее на асе пишем object network IIS-1-www
nat (dmz,Failover) static 172.30.210.3 object network IIS-2-www
nat (dmz,Failover) static 172.30.210.4 IIS-1-www и IIS-2-www - Это как раз объекты с айпи, которые висят на сетевой карте сервера. Все, остается прикрутить PBR на циске, пишем два деф гв (на каждого прова свой), настраиваем PBR с 210.3 в одного прова, с 210.4 - в другого через set ip next-hop. Не забываем на асе в аксес-листах разрешить трафик и корректно настроить оверлоад нат на циске.
|
Версия для распечатки
