6
Cisco ASA 5505 Http Traffic über zweiten ISP schicken
Hallo,
ich bin relativ neu auf dem Gebiet rund um Cisco Geräte und habe jetzt eine Cisco ASA 5505 eingerichtet.
Meine erste simple Einrichtung funktioniert tadellos.
Ich habe ein Inside Interface mit unserem LAN und ein outside Interface (outside1) mit unserem DSL Anschluss eingerichtet.
PPPoE Verbindung wird einwandfrei hergestellt und alles funktioniert.
Der zweite Schritt stellt sich jetzt allerdings als größere Herrausforderung dar:
Wir bekommen demnächst einen zweiten Internetanschluss (Kabel) und ich würde gerne den Netzwerktraffic splitten.
Sprich Http/Https über die DSL-Leitung schicken und alles andere über die Kabel Leitung.
Dafür habe ich also ein zweites outside Interface (outside2) eingerichtet.
Da die Interfaces durch die ASA-Lizenz beschränkt sind muss die Kommunikation des 3ten Interfaces eingeschränkt werden, also habe ich ihm Verboten mit dem outside1 Interface zu kommunizieren (sollte ja kein Problem sein, da die beiden outside Interfaces nichts zu besprechen haben sollten).
Soweit sogut. Allerdings ist mir noch unklar wo ich auf der ASA den Http/Https Verkehr so umbiegen kann das er durch das outside1 Interface geht.
Ich habe bisher keine Antwort ergooglen können. Bei Cisco bin ich auch noch nicht fündig geworden.
Ich hoffe ich konnte mein Problem gut genug schildern das mir hier vielleicht jemand ein paar Tips geben kann.
ich bin relativ neu auf dem Gebiet rund um Cisco Geräte und habe jetzt eine Cisco ASA 5505 eingerichtet.
Meine erste simple Einrichtung funktioniert tadellos.
Ich habe ein Inside Interface mit unserem LAN und ein outside Interface (outside1) mit unserem DSL Anschluss eingerichtet.
PPPoE Verbindung wird einwandfrei hergestellt und alles funktioniert.
Der zweite Schritt stellt sich jetzt allerdings als größere Herrausforderung dar:
Wir bekommen demnächst einen zweiten Internetanschluss (Kabel) und ich würde gerne den Netzwerktraffic splitten.
Sprich Http/Https über die DSL-Leitung schicken und alles andere über die Kabel Leitung.
Dafür habe ich also ein zweites outside Interface (outside2) eingerichtet.
Da die Interfaces durch die ASA-Lizenz beschränkt sind muss die Kommunikation des 3ten Interfaces eingeschränkt werden, also habe ich ihm Verboten mit dem outside1 Interface zu kommunizieren (sollte ja kein Problem sein, da die beiden outside Interfaces nichts zu besprechen haben sollten).
outside1 outside2
(HTTP)__[ASA5505]__(Default)
|
inside
(LAN)
Soweit sogut. Allerdings ist mir noch unklar wo ich auf der ASA den Http/Https Verkehr so umbiegen kann das er durch das outside1 Interface geht.
Ich habe bisher keine Antwort ergooglen können. Bei Cisco bin ich auch noch nicht fündig geworden.
Ich hoffe ich konnte mein Problem gut genug schildern das mir hier vielleicht jemand ein paar Tips geben kann.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 154268
Url: https://administrator.de/contentid/154268
Printed on: April 19, 2024 at 13:04 o'clock
6 Comments
Latest comment
Hallo,
gibt wohl die Möglichkeit das über einen Kunstgriff hinzubekommen.
http://www.ducea.com/2008/05/31/adding-a-secondary-ip-address-on-a-cisc ...
brammer
gibt wohl die Möglichkeit das über einen Kunstgriff hinzubekommen.
http://www.ducea.com/2008/05/31/adding-a-secondary-ip-address-on-a-cisc ...
brammer
Danke für die Antwort,
nur kann ich leider nicht nachvollziehen wie das bei meinem Problem hilfreich sein kann.
Ich habe ja 2 outside interfaces die ja auch getrennt bleiben müssen(kann ja schwerlich 2 Modems an ein Interface hängen) und möchte lediglich bestimmten Traffic über ein Interface routen während alles sonst über das zweite interface geht.
nur kann ich leider nicht nachvollziehen wie das bei meinem Problem hilfreich sein kann.
Ich habe ja 2 outside interfaces die ja auch getrennt bleiben müssen(kann ja schwerlich 2 Modems an ein Interface hängen) und möchte lediglich bestimmten Traffic über ein Interface routen während alles sonst über das zweite interface geht.
Hallo,
Okay, da hab ich was falsch verstanden.
Das sollte bei mit einer ACL am Outside 2 gehen
Access-lists 123 deny ip any any equal http
Access-List 123 deny ip any any equal https
Diese an Outside 2 binden und der Traffic kann nicht mehr durch.
Brammer
Okay, da hab ich was falsch verstanden.
Das sollte bei mit einer ACL am Outside 2 gehen
Access-lists 123 deny ip any any equal http
Access-List 123 deny ip any any equal https
Diese an Outside 2 binden und der Traffic kann nicht mehr durch.
Brammer
Das nützt ihm ja auch nix, dann geht gar kein Web Traffic mehr durch. Er will ja gerade den Traffic entsprechend steuern über die beiden ISP Anschlüsse.
Das Zauberwort heisst hier PBR (Policy based Routing).
Hier ist ein Szenario das deinem identisch ist und sich auch im Handumdrehen auf der ASA umsetzen läst:
Cisco Router 2 Gateways für verschiedene Clients
Du filterst in der route-map statt auf IPs dann lediglich auf die Ports mit extended ACLs.
Das Zauberwort heisst hier PBR (Policy based Routing).
Hier ist ein Szenario das deinem identisch ist und sich auch im Handumdrehen auf der ASA umsetzen läst:
Cisco Router 2 Gateways für verschiedene Clients
Du filterst in der route-map statt auf IPs dann lediglich auf die Ports mit extended ACLs.
Danke für die Antworten!
Das hörte sich auch recht vielversprechend an, aber leider scheint es nicht zu funktionieren. Eine kurze Suche auf der Cisco Seite ergab dann auch das die ASA Serie kein PBR kann
Das hörte sich auch recht vielversprechend an, aber leider scheint es nicht zu funktionieren. Eine kurze Suche auf der Cisco Seite ergab dann auch das die ASA Serie kein PBR kann
Böses Faul oder clevere Cisco Kundenpolitik ! Dann hast du keine Chance mit der ASA allein ! Kannst du ggf. einen Layer 3 Switch davorschalten der das dann erledigt ?
Alternative einen Load Balancing Router davorschalten wie einen Draytek 2910 etc.
Ansonsten bleibt dir dann nur noch
How can I mark a post as solved?
Alternative einen Load Balancing Router davorschalten wie einen Draytek 2910 etc.
Ansonsten bleibt dir dann nur noch
How can I mark a post as solved?
