(¿Como realizar redundancia y enrutamiento a travez del ASA 5510?) (How to apply redundance and adva...

Liberth Frank Torrez Rivera · ‎09-02-2011

A quienes corresponda.

La verdad es mi primera vez que utilizo esta herramienta tan importante como es Cisco Support Community , para que alguna alma caritativa pueda ayudarme con el siguiente problema que tengo.

Deseo que los usuarios de la LAN interna 192.168.10.0/24 se conecten a internet mediante el dispositivo de seguridad ASA 5510, con traficos separados , como se puede observar en la figura adjunta. Se tiene dos provedores de servicio de internet ISP-1 e ISP-2, con distinta ip publica. El esquema planteado es el siguiente : Se requiere separar el trafico HTTP para que solo salga por el ISP-1 y que los traficos SMTP/POP3 salgan por la ISP-2, debido a que los servidores WEB y MAIL estan haciendo hosting en otro pais. ademas ,en caso de que un enlace hacia el internet cayera, el otro pueda recivir y transmitir los tres tipos de trafico planteados. Ejemplo: (ISP-1 shutdown ) el otro enlace (ISP-2 recivira y trasmitira el trafico HTTP POP3 SMTP).

To those concerned.

Actually it's the first time that I use this important tool like Cisco Support Comunity, for some charitable soul can help me with the following problem that I have.

I want that the users that are in the internal LAN (192.168.10.0/24) connect to internet through ASA 5510 security appliance with traffics separated, as shown in the Picture. It has two Internet service providers ISP-1 and ISP-2 with different public ip, the proposed scheme is as follows: it is required for trafic to be separated in order to http trafic to go only through the ISP-1 and the traffics SMTP/POP3 go through ISP-2 , becouse the WEB and MAIL servers are doing hosting in other country, addition if a link to the Internet fall, the other one can recive and trasmit all traffics like (http,smtp,pop3). for example: (ISP-1 shutdown ) the other one ( ISP-2 recive and transmit HTTP POP3 SMTP).

Maykol Rojas · ‎09-02-2011

Liberth,

Espero que estes muy bien, Lastimosamente lo que andas buscando se llama PBR (por sus siglas en ingles policy based routing). El ASA no soporta este tipo de configuracion. Hay un documento oficial pero es en ingles aca esta:

Q. Can Cisco 5500 Series ASA do a Policy Based Routing (PBR) like Cisco Router? For example, mail traffic should be routed to first ISP while http traffic should be routed to the second one.

A. Unfortunately, there is no way to do policy-based routing on the ASA at this time. It can be a feature that is added to the ASA in the future.
Note: The route-map command is used to redistribute routes between routing protocols, such as OSPF and RIP, with the use of metrics and not to policy route regular traffic as in routers.

http://www.cisco.com/en/US/products/hw/vpndevc/ps2030/products_qanda_item09186a00805b87d8.shtml

Si tienes alguna duda yo con mucho gusto te Atiendo.

Saludos.

Mike

Liberth Frank Torrez Rivera · ‎09-05-2011

Maykol

muchisimas gracias por la ayuda buscare mas informacion y de como configurar en los routers el PBR y en cuanto a la redundancia es posible tambien incluirla en las PBR?, si en caso cayera una de las interfaces la otra asumiria los otros tipos de trafico?, te agradeciria las ayuda que pudieras enviarme gracias de antemano.

saludos

Maykol Rojas · ‎09-05-2011

Habria que ver ya en las funcionalidades del router, yo si se que soporta SLA monitoring que permite monitorear un linkl y cuando se cae usar otro.

Lo que pasa es que cuando configuras PBR pones un next hop estatico... No se que tan lejos llegara la funcionalidad de los Route maps en el Router.

Mike

(¿Como realizar redundancia y enrutamiento a travez del ASA 5510?) (How to apply redundance and advanced routing through ASA 5510?)

Q. Can Cisco 5500 Series ASA do a Policy Based Routing (PBR) like Cisco Router? For example, mail traffic should be routed to first ISP while http traffic should be routed to the second one.