https://opennet.me/openforum/vsluhforumID6/1235.html Доброго времени суток, уважаемые эксперты!<br><br>Столкнулся с задачей - никак не могу решить, какой-то творческий ступор :) Буду признателен за подсказку, в каком направлении двигаться. Суть следующая.<br>Есть ASA5505 (9.0) и DMZ за ней, в которой стоит сервер. Есть 2 провайдера. Задача - сделать сервер в DMZ доступным одновременно с интернета с двух провайдеров. То есть не failover, когда один линк падает - юзать второй, а именно чтобы можно было одновременно зайти с двух провайдеров с любой точки интернета. И вот тут я не совсем понимаю, как правильно делать. У меня есть Cisco 1841 с двумя интерфейсами. Я завел на один интерфейс (f0/1) 2 прова виланами, а второй (f0/0) соединил с outside ASA. Я понимаю, как работает PBR и умею его настраивать. Я пробросил на 1841 static NAT с обоих провов на outside АСЫ, но теперь мне нужно как-то заставить Асу хитро натить трафик дальше в DMZ на сервер и обратно, и здесь возникли проблемы. Никак не могу понять, как правильно делать. Написать на сетевую карту сервера 2 ip и нат https://opennet.me/openforum/vsluhforumID6/1235.html#5 Tue, 04 Mar 2014 11:43:03 GMT Усложнил по максимуму все :)<br> https://opennet.me/openforum/vsluhforumID6/1235.html#4 Mon, 03 Mar 2014 10:56:23 GMT В результате удалось-таки реализовать. Схема та же, провы приходят виланами, проброшен статик нат с каждого прова на свой внутренний айпи - 172.30.210.3 и 210.4. На интерфейсе асы - 210.2, то есть я начу с циски дестинатион в айпи, которых нет вообще на интерфейсе асы. На асе создаю объекты на целевой сервак - для каждого прова свой айпи, на серваке вешаю ОБА этих айпи на сетевую карту. Далее на асе пишем <br><br>object network IIS-1-www<br> nat (dmz,Failover) static 172.30.210.3<br><br>object network IIS-2-www<br> nat (dmz,Failover) static 172.30.210.4<br><br>IIS-1-www и IIS-2-www - Это как раз объекты с айпи, которые висят на сетевой карте сервера.<br><br>Все, остается прикрутить PBR на циске, пишем два деф гв (на каждого прова свой), настраиваем PBR с 210.3 в одного прова, с 210.4 - в другого через set ip next-hop. Не забываем на асе в аксес-листах разрешить трафик и корректно настроить оверлоад нат на циске.<br> https://opennet.me/openforum/vsluhforumID6/1235.html#3 Mon, 24 Feb 2014 07:24:24 GMT На сервере 2 приватных IP.<br>Асю на помойку, на кисе использовать Zone Based Firewall.<br>На кисе PBR + NAT, с одного оператора на первый приватный IP сервера, со второго на второй.<br> https://opennet.me/openforum/vsluhforumID6/1235.html#2 Fri, 21 Feb 2014 10:01:45 GMT &gt; Главная проблема такой топологии - обратный трафик, и если только для резервирования <br>&gt; (работа через 1го провайдера) она в принципе решаема (пример: http://habrahabr.ru/post/80555/), <br>&gt; то при одновременной работе 2х провайдеров без белых IP за 1841 <br>&gt; и BGP возникают проблемы. Я бы посмотрел в сторону поднятия 2х <br>&gt; серверов (тем более в свете развития виртуализации проблем с этим быть <br>&gt; не должно).<br><br>Упростите схему удалением NAT-а на ACE.<br> https://opennet.me/openforum/vsluhforumID6/1235.html#1 Fri, 21 Feb 2014 06:40:08 GMT Главная проблема такой топологии - обратный трафик, и если только для резервирования (работа через 1го провайдера) она в принципе решаема (пример: http://habrahabr.ru/post/80555/), то при одновременной работе 2х провайдеров без белых IP за 1841 и BGP возникают проблемы. Я бы посмотрел в сторону поднятия 2х серверов (тем более в свете развития виртуализации проблем с этим быть не должно). <br>