Здравствуйте уважаемые форумчане :)
Попробую поделиться с вами своей проблемой, решение которой мне надо найти.
Итак, приступимс:
В некоторой организации построена следующая схема выхода в сеть интернет
Пользователи сети 12 сегмента выходят в интернет через GW1 и GW2 на которых поднят NAT и реализована так называемая DMZ, работа которой заключается в том, что из 77 сегмента невозможно установить соединения на компьютеры 12 сегмента.
Пикса в свою очередь натит IP GW1 и GW2. Для WEB сервера в DMZ зоне на пиксе проброшен порт, и у веб сервера один defaul gw 192.168.77.254
Теперь встала задача подключить второй канал интернет и для этого была куплена ASA 5505. Я вижу пока что такую реализацию схемы:
НО! При такой реализации возникает следующая проблема:
Представим что 2 канала интернет работают. Представим что на WEB сервере прописаны 2 IP шлюзов (PIX и ASA), т.к. требуется надежность, чтобы в случае падения одного из провадеров, WEB сервер оставался по-прежнему виден из инета. Проблему я вижу такой: например, запрос к WEB серверу извне инициируется на адрес 213.x.x.x, сервер получив запрос готовит ответ, и тут самое главное! на какой шлюз он отправит ответ? На PIX или на ASA? Ведь он не знает с какого шлюза пришел пакет из инета с реальным IP адресом клиента, например от 34.12.45.67! Ведь если он отправит ответ не через тот шлюз откуда пришел запрос, то IP его изменится на выходе и соединение как я понимаю не установится.
Как можно решить данную проблему? Если что, в арсенале еще имеется пылящийся 2811 рутер… Неплохо было бы сделать не просто резервирование каналов инет, а так называемый Load balancing чтобы использовать их равномерно, и в случае падения одного из них, весь трафик автоматом заруливался на доступный?
Попробую поделиться с вами своей проблемой, решение которой мне надо найти.
Итак, приступимс:
В некоторой организации построена следующая схема выхода в сеть интернет
Пользователи сети 12 сегмента выходят в интернет через GW1 и GW2 на которых поднят NAT и реализована так называемая DMZ, работа которой заключается в том, что из 77 сегмента невозможно установить соединения на компьютеры 12 сегмента.
Пикса в свою очередь натит IP GW1 и GW2. Для WEB сервера в DMZ зоне на пиксе проброшен порт, и у веб сервера один defaul gw 192.168.77.254
Теперь встала задача подключить второй канал интернет и для этого была куплена ASA 5505. Я вижу пока что такую реализацию схемы:
НО! При такой реализации возникает следующая проблема:
Представим что 2 канала интернет работают. Представим что на WEB сервере прописаны 2 IP шлюзов (PIX и ASA), т.к. требуется надежность, чтобы в случае падения одного из провадеров, WEB сервер оставался по-прежнему виден из инета. Проблему я вижу такой: например, запрос к WEB серверу извне инициируется на адрес 213.x.x.x, сервер получив запрос готовит ответ, и тут самое главное! на какой шлюз он отправит ответ? На PIX или на ASA? Ведь он не знает с какого шлюза пришел пакет из инета с реальным IP адресом клиента, например от 34.12.45.67! Ведь если он отправит ответ не через тот шлюз откуда пришел запрос, то IP его изменится на выходе и соединение как я понимаю не установится.
Как можно решить данную проблему? Если что, в арсенале еще имеется пылящийся 2811 рутер… Неплохо было бы сделать не просто резервирование каналов инет, а так называемый Load balancing чтобы использовать их равномерно, и в случае падения одного из них, весь трафик автоматом заруливался на доступный?