Как настроить VPN на моем новом брандмауэре, не удаляя старый?
У меня есть колокейшн с моим основным брандмауэром. Он имеет ряд VPN-туннелей между сайтами, построенных от основного брандмауэра до брандмауэров, которые находятся на удаленных объектах.
Я хочу заменить этот основной брандмауэр на Cisco ASA, но я хочу сократить время простоя. Я хочу установить ASA и настроить VPN-туннели к новым брандмауэрам на удаленных объектах, не отключая VPN-туннели, которые уже созданы на старом брандмауэре.
Я думал, что разделю коммутатор на две VLAN и подключу восходящую линию связи и внешние интерфейсы обоих брандмауэров к одной VLAN, а затем внутренние интерфейсы обоих брандмауэров к другой VLAN. Но потом меня поразило, что мне нужен публичный IP-адрес для настройки VPN, и оба брандмауэра не могут иметь одинаковый публичный IP-адрес на своих внешних интерфейсах...
Так что же делать парню? Как я могу установить второй брандмауэр в сердце моей сети и при этом сохранить работоспособность оригинала?
1 ответ
Если ваш текущий брандмауэр действует в качестве конечной точки VPN, удаленные брандмауэры будут настроены для связи с его общедоступным IP-адресом, и, конечно, только один брандмауэр может иметь этот адрес одновременно (если вы не работаете с какой-то кластерной установкой, которая не ваше дело).
Могут существовать способы одновременной работы и запуска обоих брандмауэров, но вам потребуется как минимум другой публичный IP-адрес и перенастроить все удаленные брандмауэры для подключения ко второму IP-адресу, если они не могут достичь первого; Я не знаю, о каких туннелях мы говорим и сколько простоя вы можете себе позволить, но я бы сделал предварительную настройку нового брандмауэра с соответствующими настройками, чтобы заменить существующий, а затем просто поменять их местами; если что-то не работает, вы можете поменять их обратно и устранить неполадки.
Любое другое решение потребовало бы намного больше работы.