Hola!
En los CISCO ASA no es posible balancear la carga entre 2 ISP, porque no soporta PBR (policy based routing) y sólo puede tener una ruta default… Entonces…¿Qué opciones nos quedan en caso de que ya tengamos el equipo y no sea posible invertir en otro tipo de dispositivo…? La primera opción es configurar fail-over entre los ISP conocido como “SLA Route Tracking” y la segunda opción es colocar un router delante del ASA y utilizar PBR.
Reflexión: En mi opinión personal, es necesario entender completamente las necesidades y/o expectativas del cliente y su negocio, a la hora de implementar éste tipo de soluciones ya que si bien es funcional no es la mejor opción pensando en términos de flexibilidad, seguridad, complejidad y futuras actualizaciones en la infraestructura de dicha organización.
Avanzamos con la segunda opción…
La topología planteada para éste laboratorio es la siguiente:
SITE HQ
Redes: LAN: 172.16.20.0/24, 192.168.100.0/24 (defaul gw la .1 de cada red) Transito: 20.20.20.0/30 (.1 para el ASA y .2 para el Router) Publicas: 200.68.122.0/28, 200.68.123.0/28 (defaul gw la .2 de cada red) Objetivo: La red 172.16.20.0/24 debería salir a Internet a través de la IP 200.68.122.1 La red 192.168.100.0/24 debería salir a Internet a través de la IP 200.68.123.1 Publicar el servidor 172.16.20.102:80 en la IP 200.68.122.1:80
Remote Site
Redes: LAN: 192.168.200.0/24 Publica: 220.100.55.3/24
Configuración en el ASA
Configuración en el RT-OUTSIDE-01
!
version 12.4 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname RT-OUTSIDE-01 ! boot-start-marker boot-end-marker ! ! no aaa new-model memory-size iomem 5 no ip icmp rate-limit unreachable ip cef ip tcp synwait-time 5 ! ! ! ! no ip domain lookup ! multilink bundle-name authenticated ! ! ! ! ! ! Interfaz hacia ISP01 interface FastEthernet0/0 Description To-RT-ISP-01 ip address 200.68.123.1 255.255.255.240 ip nat outside ip virtual-reassembly speed 100 half-duplex no cdp enable no ip redirects no ip unreachables no ip directed-broadcast no ip proxy-arp ! ! Interfaz hacia ISP02 interface FastEthernet0/1 Description To-RT-ISP-02 ip address 200.68.122.1 255.255.255.240 ip nat outside ip virtual-reassembly duplex auto speed auto no cdp enable no ip redirects no ip unreachables no ip directed-broadcast no ip proxy-arp
! ! Interfaz LAN interface FastEthernet1/0 Description Red_Transito ip address 20.20.20.2 255.255.255.252 ip nat inside ip virtual-reassembly ip policy route-map elegir_isp duplex auto speed auto ! !Rutas de regreso hacia las redes que están detrás del ASA ip route 172.16.20.0 255.255.255.0 20.20.20.1 ip route 192.168.100.0 255.255.255.0 20.20.20.1 ! ! no ip http server no ip http secure-server ! ! Nateo con route-maps ip nat inside source route-map nat_isp_01 interface FastEthernet0/1 overload ip nat inside source route-map nat_isp_02 interface FastEthernet0/0 overload ! ! Port-Forwarding para la ip 172.16.20.102 ip nat inside source static tcp 172.16.20.102 80 200.68.122.1 80 extendable ! !Access list para enviar el tráfico a rt-isp-01 access-list 101 remark traffic_to_isp01 access-list 101 permit ip 172.16.20.0 0.0.0.255 any access-list 101 permit ip 20.20.20.0 0.0.0.3 any ! !Access list para envíar el tráfico a rt-isp-02 access-list 102 remark traffic_to_isp02 access-list 102 permit ip 192.168.100.0 0.0.0.255 any access-list 102 permit ip 172.16.20.0 0.0.0.255 any ! ! ! Route-maps para el nateo route-map nat_isp_01 permit 10 match ip address 101 match interface FastEthernet0/1 set ip next-hop 200.68.122.2 ! route-map nat_isp_02 permit 10 match ip address 102 match interface FastEthernet0/0 set ip next-hop 200.68.123.2 ! ! ! Route-maps para elegir por cual isp salen las redes
route-map elegir_isp permit 10 match ip address 101 match interface FastEthernet0/1 set ip next-hop 200.68.122.2 ! route-map elegir_isp permit 20 match ip address 102 match interface FastEthernet0/0 set ip next-hop 200.68.123.2 ! ! ! ! control-plane ! ! ! line con 0 exec-timeout 0 0 privilege level 15 logging synchronous line aux 0 exec-timeout 0 0 privilege level 15 logging synchronous line vty 0 4 login ! ! end
Testeamos que funcione…nos paramos en cada red y utilizando el comando tracert hacia la ip 220.100.55.3 verificamos por donde está saliendo
Red 172.16.20.0/24
C:\>tracert -d 220.100.55.3
Tracing route to 220.100.55.3 over a maximum of 30 hops
1 48 ms 88 ms 54 ms 20.20.20.2 2 111 ms 17 ms 23 ms 200.68.122.2 3 37 ms 27 ms 120 ms 220.100.55.3
Trace complete.
Red 192.168.100.0/24
C:\>tracert -d 220.100.55.3
Tracing route to 220.100.55.3 over a maximum of 30 hops
1 21 ms 8 ms 20 ms 20.20.20.2 2 19 ms 34 ms 42 ms 200.68.123.2 3 47 ms 52 ms 107 ms 220.100.55.3
Trace complete.
Comments