求Cisco ASA 双链路接入的设置方法，要求实现负载均衡_百度知道
求Cisco ASA 双链路接入的设置方法，要求实现负载均衡
双接入配置思路，步骤，实现负载或者链路备份2种功能的配置思路。另外设置DMZ的步骤，请高手指点一下配置流程就行，谢谢了。
我有更好的答案
SA双链路的话。ASA不支持PBR功能，你只能通过静态路由来实现了。。，因此没办法做针对源为的流量负载
采纳率：54%
来自团队：
你的防火墙购买了安全的许可没有，不然没有那种功能的。要看配置的话，“Cisco ASA 设备使用指南”里面什么都有。
0 0.0.0.0.0 0.0.0.0.0 线路Aip route 0，直接两条缺省路由同样管理距离OK：ip route 0.0.0 线路B负载均衡的就什么用处了了.0.0.0.0 0.0.0access-list permit vlanX1access-list permit vlanX2route-map 策略名 permit 10match access-list 上面那个aclset interface 线路A的接口route-map 策略名 permit 20int inside接口ip policy route-map 策略名ip route 0
本回答被网友采纳
1条折叠回答
为您推荐：
其他类似问题
负载均衡的相关知识
换一换
回答问题，赢新手礼包
个人、企业类
违法有害信息,请在下方选择后提交
色情、暴力
我们会通过消息、邮箱等方式尽快将举报结果通知您。cisco asa 防火墙 双机主备实例_百度文库
两大类热门资源免费畅读
续费一年阅读会员，立省24元！
cisco asa 防火墙 双机主备实例
&&cisco asa
阅读已结束，下载文档到电脑
想免费下载本文？
定制HR最喜欢的简历
你可能喜欢查看:1079|回复：3
初级工程师
如图所示，企业共三条isp：联通20M、电信80M、电信20M，需要实现172.21.1.x/24（办公电脑）通过电信80M访问互联网、192.168.0.x/24（服务器）通过联通20M访问互联网、192.168.0.16（web服务器）通过电信20M做NAT（10.10.10.16）。另外，电信80M作为联通20M的备份ISP，保证服务器互联网访问的连续性。思路：1.默认路由走电信80M；
& && && &&&2.策略路由（sou:192.168.0.x/24）走联通20M；
& && && &&&3.浮动静态路由做备份ISP。
问题：1.备份ISP只有在联通20M链路中断才能生效，无法防止丢包问题。（没有路由器的局限性）
& && && &&&2.NAT路由如何配置？
粘贴主要配置：
interface GigabitEthernet0/0
nameif inside
security-level 100
ip address 192.168.99.9 255.255.255.248
policy-route route-map PBR-to-LT20
interface GigabitEthernet0/1
nameif DXT80
security-level 0
ip address x.x.x.x&&255.255.255.252
interface GigabitEthernet0/2
nameif LT20
security-level 0
ip address x.x.x.x&&255.255.255.252
interface GigabitEthernet0/3
nameif DXT20
security-level 0
ip address 10.10.10.2 255.255.255.252
object network inside-DXT80-all
subnet 0.0.0.0 0.0.0.0
object network inside-LT20-all
subnet 0.0.0.0 0.0.0.0
object network 10.10.10.16_MIP
host 10.10.10.16
object network 192.168.0.16_Host
host 192.168.0.16
object-group network route-to-LT20
network-object 192.168.0.0 255.255.255.0
access-list DXT20_in extended permit tcp any object 192.168.0.16_Host
access-list DXT80_access_in extended permit ip any any
access-list LT20_access_in extended permit ip any any
access-list PBR-to-LT20 extended permit ip object-group route-to-LT20 any
object network inside-DXT80-all
nat (inside,DXT80) dynamic interface
object network inside-LT20-all
nat (inside,LT20) dynamic interface
object network 192.168.0.16_Host
nat (inside,DXT20) static 10.10.10.16_MIP
access-group DXT80_access_in in interface DXT80
access-group LT20_access_in in interface LT20
access-group DXT20_in in interface DXT20
route-map PBR-to-LT20 permit 10
match ip address PBR-to-LT20
set ip default next-hop x.x.x.x（联通公网IP）
route DXT80 0.0.0.0 0.0.0.0 x.x.x.x 1
route LT20 0.0.0.0 0.0.0.0 x.x.x.x 10
route DXT20 0.0.0.0 0.0.0.0 10.10.10.1 12（可解决问题2）
route inside 172.21.0.0 255.255.0.0 192.168.99.10 1
route inside 192.168.0.0 255.255.255.0 192.168.99.10 1
针对问题2，route DXT20 0.0.0.0 0.0.0.0 10.10.10.1 12可解决，如果不配置本条默认路由NAT是不通的，但是本条默认路由优先级最低，应该是不生效的，查路由表也没有。请教各位大神，这应该怎么解释？
另外一种思路，可以策略路由让做NAT的服务器不走联通、改走电信20M，这样与现有的方式比有何优劣？还有没有别的思路解决呢？
另外，请各位大神针对当前架构看有没有什么优化的建议？
(19.29 KB)
思科技术论坛版主
浮动路由是只有原路由接口down的时候才会浮出来，所以这样是没有意义的，因为运营商故障，你的接口基本上也是up的情况比较多。这种情况应用sla解决。
网络工程师
提示: 作者被禁止或删除 内容自动屏蔽
初级工程师
引用:原帖由 菠萝味咖啡 于
17:20 发表
浮动路由是只有原路由接口down的时候才会浮出来，所以这样是没有意义的，因为运营商故障，你的接口基本上也是up的情况比较多。这种情况应用sla解决。 ... 我现在的出口只有防火墙&&没有路由器&&ASA5525不支持sla吧；
现在关键问题是NAT只有在添加了到电信20M的浮动路由才生效，有点费解。查看:3744|回复：13
助理工程师
拓扑图如下ISP双链路分别接到两台CE上，分别在这两台CE上配置默认路由分别指回ISP对端IP
R1：ip route 0.0.0.0 0.0.0.0 10.1.1.1
R2：ip route 0.0.0.0 0.0.0.0 10.1.2.1
ASA上写了两条等价默认路由
route outside 0.0.0.0 0.0.0.0 192.168.1.1
route outside 0.0.0.0 0.0.0.0 192.168.1.2
现在有点困惑：
1、用户拨号上来后，ISP会进行负载均衡，如A用户拨号上来后，从10.1.1.1这条链路进入，按照ASA上的默认路由，回程从R1走，但当B用户拨号上来后，若从10.1.2.1这条链路进来，是否会从R2路由器回去，还是从R1回去？如何实现从R1进来的流量从R1回去，从R2进来的流量从R2回去，除了策略路由的方式。
2、关于track，设想是在asa上做，分别检测两条与isp的链路状态，配置完后路由表中只有一条默认路由 指向192.168.1.1 ，一旦10.1.1.1这条链路断了。则0.0.0.0 0.0.0.0 192.168.1.2 默认路由进入路由表。为了实现这个track功能，只能将两条默认路由的metic值分别设成1 2，这样的话，就造成了两条默认路由非等价的。还是回到了上一问题，万一从10.1.2.1这条链路进来的流量回程却走了10.1.1.1这条链路。这个如何解决呢？
本帖最后由 卡西诺 于
16:04 编辑
优秀技术经理
LZ在做vpn吗？？
优秀技术经理
LZ可以用cisco的HSRP热备份&&或者公有化的VRRP试试
优秀技术经理
热备份可以检测链路状态& &R1到ISP那条链路断了&&会走R2的
优秀技术经理
这要看防火墙的负载均衡机制了 防火墙都是基于session来转发数据包的
思科设备应该有个基于数据流的装发的
助理工程师
引用:原帖由
16:32 发表
LZ可以用cisco的HSRP热备份&&或者公有化的VRRP试试 谢谢，你说的hsrp是在R1 跟 R2上做的咯
助理工程师
引用:原帖由
16:27 发表
LZ在做vpn吗？？ 恩。是做vpn
优秀技术经理
引用:原帖由 卡西诺 于
18:53 发表
谢谢，你说的hsrp是在R1 跟 R2上做的咯 是的。。。。
助理工程师
引用:原帖由
18:58 发表
是的。。。。 hsrp是个思路，就不知道还有没有其他的方案
优秀技术经理
引用:原帖由 卡西诺 于
22:09 发表
hsrp是个思路，就不知道还有没有其他的方案 这个&&去问下版主&&独钩寒江雪 看看
思科技术狂热分子
1、运用策略路由；
2、R1、R2之间启用HRSP；
3、R1、R2之间VRRP+BFD+track等。
助理工程师
引用:原帖由 独钩寒江雪 于
23:27 发表
1、运用策略路由；
2、R1、R2之间启用HRSP；
3、R1、R2之间VRRP+BFD+track等。 感谢版主，我研究下~我觉得vrrp+track 靠谱点
助理工程师
引用:原帖由 卡西诺 于
10:02 发表
感谢版主，我研究下~我觉得vrrp+track 靠谱点 最后会因为NAT状态不同步，切换过去流量中断- -！ 可以测试下！
可以写一条PBR，专门抓特定流量走需要的路由双链路网络安全解决方案_百度文库
两大类热门资源免费畅读
续费一年阅读会员，立省24元！
双链路网络安全解决方案
阅读已结束，下载文档到电脑
想免费下载本文？
定制HR最喜欢的简历
下载文档到电脑，方便使用
还剩4页未读，继续阅读
定制HR最喜欢的简历
你可能喜欢