Подскажите пожалуйста идею как решить задачу. Схема:
ISP1--------------Router1------213.х.х.х-------PIX-(DMZ)---Server
ISP2--------------Router2------194.х.х.х-------+
Маршрут по умолчанию прописан на пиксе на роутер1. На пиксе статик трансляция на сервер с 194.х.х.х на 10.х.х.х
Пакет приходит из инета (icmp например) проходит роутер2 потом пикс-потом по дефолту в другого провайдера. Как сделать так чтоб пакет уходил через роутер2? 194 и 213 внешние подсети.
route map на пиксе не выход ?
>route map на пиксе не выход ?
А роутемапов нет на пиксе. Если есть- напишите как. :)
Покажите полностью нонфиг ната, какие роуты прописаны и что попадает в xlate при нате.
>Покажите полностью нонфиг ната, какие роуты прописаны и что попадает в xlate
>при нате.
"Can I connect two different ISPs to my Cisco Secure PIX Firewall (for load-balancing)?
A. No, you cannot load-balance on the PIX. The Cisco Secure PIX Firewall is designed to handle only one default route. When you connect two ISPs to a single PIX, it means that the Firewall needs to make routing decisions at a much more intelligent level. Instead, use a gateway router outside the PIX so that the PIX continues to send all of its traffic to one router. That router can then route/load-balance between the two ISPs. An alternative is to have two routers outside the PIX using Hot Standby Router Protocol (HSRP) and set the default gateway of the PIX to be the virtual HSRP address. Alternatively, (if possible) you can use Open Shortest Path First (OSPF) which supports load balancing among a maximum of three peers on a single interface. "спасибо всем за беспокойство. но вот нашел ...
>>Покажите полностью нонфиг ната, какие роуты прописаны и что попадает в xlate
>>при нате.
>"Can I connect two different ISPs to my Cisco Secure PIX Firewall
>(for load-balancing)?
>A. No, you cannot load-balance on the PIX. The Cisco Secure PIX
>Firewall is designed to handle only one default route. When you
>connect two ISPs to a single PIX, it means that the
>Firewall needs to make routing decisions at a much more intelligent
>level. Instead, use a gateway router outside the PIX so that
>the PIX continues to send all of its traffic to one
>router. That router can then route/load-balance between the two ISPs. An
>alternative is to have two routers outside the PIX using Hot
>Standby Router Protocol (HSRP) and set the default gateway of the
>PIX to be the virtual HSRP address. Alternatively, (if possible) you
>can use Open Shortest Path First (OSPF) which supports load balancing
>among a maximum of three peers on a single interface. "
>
>
>спасибо всем за беспокойство. но вот нашел ...Так это же вопрос не load-balancing'а
>Так это же вопрос не load-balancing'а
Не лоадбалансинга но я так понял что согласно
The Cisco Secure PIX
>Firewall is designed to handle only one default route. When you
>connect two ISPs to a single PIX, it means that the
>Firewall needs to make routing decisions at a much more intelligent
>level. Instead, use a gateway router outside the PIX so that
>the PIX continues to send all of its traffic to one
>router.
не получится получить ответный пакет не в направлении дефолт роута.
>route map на пиксе не выход ?Извиняюсь- в версии 7 есть роутемапы на пиксе и видно можно сделать.
>>route map на пиксе не выход ?
>
>Извиняюсь- в версии 7 есть роутемапы на пиксе и видно можно сделать.
>
пикс - это фаервол а не маршрутизатор. Не забивайте гвозди гаечным ключем.
>>Так это же вопрос не load-balancing'а
>Не лоадбалансинга но я так понял что согласно
>The Cisco Secure PIX
>>Firewall is designed to handle only one default route. When you
>>connect two ISPs to a single PIX, it means that the
>>Firewall needs to make routing decisions at a much more intelligent
>>level. Instead, use a gateway router outside the PIX so that
>>the PIX continues to send all of its traffic to one
>>router.
>не получится получить ответный пакет не в направлении дефолт роута.Да и дело не в таблице маршрутизации. При нате создается запись (если динамик) в xlate, которая и хранит информацию "с какого интерфейса был получен пакет". Ответы также "маршрутизируются" согласно такой записи.
>>>route map на пиксе не выход ?
>>
>>Извиняюсь- в версии 7 есть роутемапы на пиксе и видно можно сделать.
>>
>
>
>пикс - это фаервол а не маршрутизатор. Не забивайте гвозди гаечным ключем.
>???
To define a route map, perform the following steps:
To create a route map entry, enter the following command:
hostname(config)# route-map name {permit | deny} [sequence_number]
... версия 722
а зачем там сделали route-map ?