Балансировка внутренних сервисов с использованием Cisco CSS 11501

Во-первых, предыстория проблемы: у меня есть Cisco CSS11501, который я использую для балансировки нагрузки нескольких веб-серверов. Эти веб-серверы имеют два сетевых интерфейса, один внутренний и один внешний, и мы отправляем запросы на внутренний интерфейс.

Мы настроили CSS для выполнения NAT, потому что наши веб-серверы должны видеть IP-адрес клиента.

Поскольку пакеты TCP попадают на веб-серверы с адресом источника в Интернете, веб-сервер пытается отправить пакет обратно клиенту через внешний интерфейс, а не через балансировщик нагрузки. Чтобы запретить отправку этих запросов обратно в Интернет через внешний интерфейс, мы добавили в эти блоки правило маршрутизации, чтобы весь трафик с исходным адресом в Интернете использовал балансировщик нагрузки в качестве шлюза. Эта часть отлично работает.

Я также хотел бы использовать CSS в качестве балансировщика нагрузки для внутренних служб, таких как наши подчиненные MySQL.

Когда я делаю это, я сталкиваюсь с подобной проблемой; TCP-соединение идет от веб-сервера к балансировщику нагрузки, а затем от балансировщика нагрузки к ведомому MySQL, но CSS подделывает исходный адрес исходного веб-сервера. Затем подчиненный MySQL пытается отправить ответ непосредственно на веб-сервер через внутреннюю сеть, а не через балансировщик нагрузки.

Идеальным решением было бы сказать CSS не делать подмену адреса источника во внутренней сети и делать это только для запросов, исходящих из Интернета. Это возможно?

Если это не удастся, есть ли способ направить трафик с балансировкой нагрузки обратно через балансировщик нагрузки, сохраняя другой трафик (скажем, SSH) исключительно во внутренней сети?

Есть ли другой способ использования CSS11501 для балансировки нагрузки внутренних сервисов?