雙ISP進線同時使用

carye6917 2014-09-19 18:26:16 ‧ 4249 瀏覽

分享至

現在狀況是公司使用一台cisco asa 5525加上單一ISP線路，並做NAT把port指向內部機器，現在上頭指示要再進另外一家ISP的線路，並沒有要做備援或是負載平衡，主要是想要做到從A ISP進來的封包一樣由A ISP的線路回去，從B ISP進來的封包一樣由B ISP的線路回去，原本考慮上面再加一台router，但是如果使用Router的話，似乎需要使用策略路由，加上明細的路由表，讓封包回去，想請教各位前輩，如果要做到A進A出，B進B出的話，要使用那種設備(架構)會比較好。

Ken(Bigcandy) iT邦大師 1 級 ‧ 2014-09-19 18:43:11 檢舉

Gateway設定好不就可以了嗎？

carye6917 iT邦新手 5 級 ‧ 2014-09-19 19:09:55 檢舉

因為只有做一個NAT，所以也只有設定一個gateway，假設我的gateway設定是A ISP的話，不管是A ISP的封包或是B ISP的封包都會由A ISP那邊出去....

原本是想用笨方法，建2個nat，把主機上面的2個網卡分別接上，不過，1來上網查詢的結果，這樣是會有問題的，2來主機上面也需要寫script來做路由的判斷

ps.主機是linux

cmwang iT邦大師 1 級 ‧ 2014-09-19 22:23:27 檢舉

ASA5525不能作Multi WAN嗎

....

登入發表討論

直播研討會

{{ item.channelVendor }} {{ item.webinarstarted }} |

直播中

2 個回答

mytiny

iT邦超人 1 級 ‧ 2014-09-20 10:30:00

最佳解答

去買台線路負載平衡器，
放在CISCO的外面，
由他來接兩條ISP的線路
這樣架構簡單些，線路可以多重運用
推薦很多人買的Fortinet AscenLink
若其他大大有不錯的產品也可以推薦給版主

回應 1
分享
檢舉

carye6917 iT邦新手 5 級 ‧ 2014-09-23 18:02:28 檢舉

已經解決該問題了，把asa的IOS更新到8.4以上，就可以使用雙ISP接入，使用方式是備援方式，A ISP的線路在靜態路由上設定track追縱路由，並加上B ISP的靜態路由，把metric設成254(如果用預設值0的話，asa會不給加)。
雖然是使用備援方式來做，但是基本上可以達到A進A出，B進B出的要求，但是內部要連出去，還是會跑A ISP(default gateway)。
如果要再加ISP的話，真的就要買負載平衝的設備了。

登入發表回應

tomluquan

iT邦新手 2 級 ‧ 2014-11-24 10:37:04

在你目前的情況下ISP A/B因同時只有一條線路在傳送資料，所以不會有問題，這剛好也是ASA的限制。如果你是用其他品牌的firewall，而兩條WAN又是同時在工作，經由firewall的policy routing的影響，就無法完全符合A進A出，B進B出的要求。若需要兩條WAN同時都要傳送資料，又要符合你的需求，最後還是得靠load balance了。