Как вы настраиваете VPN Lan к Lan на ASA, не используя ваш IP-адрес внешнего интерфейса?
У меня есть две /28 подсетей A и B.
Адреса внешнего интерфейса PIX и ASA находятся в подсети А.
Я нахожусь в середине перехода от PIX к ASA и должен использовать адрес внешнего интерфейса PIX на ASA для последних двух оставшихся VPN к локальной сети.
Я делаю это так, потому что поставщики, к которым подключаются эти виртуальные частные сети, являются огромными ИТ-динозаврами и возьмут их за сортировку... * Это означает, что мне нужно перенести IP-адрес на свой ASA, чтобы я не беспокоился о том, чтобы они меняются на новый Peer IP.
Я пытался выяснить, как установить конкретный IP-адрес моего партнера VPN, но я не могу понять, как...
Я даже физически подключил второй порт Ethernet и попытался присвоить ему аналогичный IP-адрес в том же диапазоне, на который, по его словам, невозможно иметь два внешних адреса с IP-адресами в одной подсети.
1 ответ
Кажется, ты немного рассол.
Вы не можете установить IP-адрес туннеля; это происходит от интерфейса. Как вы заметили, вы не можете создать другой физический интерфейс в той же подсети, что и существующий интерфейс.
Я предполагаю, что у вас уже есть люди, указывающие на IP-адрес ASA, поэтому вы не можете просто переключиться на IP-адрес PIX?
Если вам просто нужно вывести PIX из эксплуатации, в зависимости от вашей версии кода ASA (9.0 или выше) и аппаратного обеспечения (PIX 5510/20 или выше), вы можете раскрутить другой контекст и поместить туда IP-адрес PIX. Это не решает логическую проблему наличия двух разных вещей для администрирования и завершения туннелей, но избавляет вас от старого оборудования.
http://www.cisco.com/en/US/docs/security/asa/asa90/configuration/guide/ha_contexts.html
Может быть, у ИТ-динозавров есть несколько вещей, верно?;)