Как сбросить NAT-трансляции на ASA5506 при изменении таблицы маршрутов?
Имеется Cisco ASA с настроенными двумя провайдерами, один из которых работает по 4G, как следствие, стоит в резерве, и любой трафик по каналу стоит клиенту денег. Мы обнаружили, что если аса переключает каналы на резерв и потом обратно на основной (через таблицу маршрутов), если кто-то построил и не разорвал сессию через резервный канал, она останется активной и пакеты будут ходить через сотовую сеть несмотря на то, что уже типа не должны. Причина, скорее всего, то, что с той стороны стоит роутер, который не умеет несколько вложенных сетей, как следствие, на стороне циски стоит NAT, который не очищается при изменении таблицы маршрутизации. Соответственно вопрос, как мне принудительно грохать старые, но всё ещё активные трансляции через конкретный интерфейс на асе? Или как ещё можно настроить асу, чтобы было два интернета, но второй работал только когда основной лежит?
А автоматически? Переключается-то он неизвестно когда, и если пользователь внезапно оставит работающей RDP-сессию, она будет keepalive слать через нат и не даст его сбросить по таймауту.
Есть у циски event manager, который умеет реагировать на события eventlog'a. В итоге кусок конфигурации оказался таким:
event manager applet drop-nats
description Removes NATs through backup-net interface
event syslog id 622001
action 1 cli command "clear xlate int backup-net"
output console
Где событие 622001 - событие route add/delete by sla monitor, т.е. срабатывание переключения активного интерфейса в случае изменения доступности интернета по основному интерфейсу. За наводку на команду спасибо Strabbo .
