[list]

Добрый день.

 

Дано:    
------------------------------------------------------------------------------------------------------------------------------------------
Cisco ASA5515-x, версия софта - 9.7,  NAT-нет.
Аса подключена к двум провайдерам через интерфейсы с именами OUT1 и OUT2.  К асе двумя интерфейсами подключен компьютер.
IP адреса сетей между компом и асой являются PA блоками провайдеров ISP1 и ISP2 и снаружи маршрутизируются соответственно через стыковые сетки ISP1 и ISP2.

На асе настроен дефолтный маршрут через интерфейс ISP1-172.16.0.2.
!
route OUT1 0.0.0.0 0.0.0.0 172.16.0.2 1
!

Для того, что-бы трафик из сети 172.17.1.0/24 ходил через ISP2 настроен PBR:
!
!
interface GigabitEthernet0/0.5
 vlan 5
 nameif IN2
 security-level 90
 ip address 172.17.1.2 255.255.255.0
 policy-route route-map PBR_FROM_ISP2
!
!
access-list PBR_FROM_ISP2 extended permit ip 172.17.1.0 255.255.255.0 any
!
!
route-map PBR_FROM_ISP2 permit 10
 match ip address PBR_FROM_ISP2
 set ip next-hop 172.17.0.2
!
!

Описание проблемы:
-------------------------------------------------------------------------------------------------------------------------------------------
Трафик (ICMP), инициированный снаружи на интерфейс компьютера 172.16.1.1 ходит нормально в обе стороны через соответствующие интерфейсы и ISP .
Трафик (ICMP), инициированный снаружи на интерфейс компьютера 172.17.1.1 доходит до компа (tcpdump) и при возвращении последний раз 
фиксируется на интерфейсе асы IN2 (capture).

Трафик же, который инициирует сам компьютер с любого интерфейса на асу или в интернет ходит нормально через соответствующие интерфейсы и ISP.

 

[vtenkt]

Добрый день,

 

попробуйте добавить route OUT2 0.0.0.0 0.0.0.0 172.17.0.2 150

[list]

В 26.04.2019 в 19:05, vtenkt сказал:

Добрый день,

 

попробуйте добавить route OUT2 0.0.0.0 0.0.0.0 172.17.0.2 150

 

Помогло, спасибо.