У меня есть место для размещения с моим основным брандмауэром. Он имеет множество туннелей VPN типа "сеть-сеть", построенных от главного межсетевого экрана к межсетевым экранам, которые находятся на удаленных объектах.
Я хочу заменить этот основной межсетевой экран на Cisco ASA, но хочу сократить время простоя. Я хочу подключить ASA и настроить VPN-туннели к новым межсетевым экранам на удаленных объектах, не отключая VPN-туннели, которые уже созданы на старом межсетевом экране.
Я думал, что разделю коммутатор на две VLAN и подключу восходящий канал и внешние интерфейсы обоих межсетевых экранов к одной VLAN, а затем внутренние интерфейсы обоих межсетевых экранов к другой VLAN. Но потом меня осенило, что мне нужен общедоступный IP-адрес для настройки VPN, и оба брандмауэра не могут иметь один и тот же общедоступный IP-адрес на своих внешних интерфейсах ...
Так что же делать парню? Как я могу разместить второй брандмауэр в центре моей сети и при этом сохранить работоспособность исходного?
Если ваш текущий брандмауэр действует как конечная точка VPN, удаленные брандмауэры будут настроены для связи с его общедоступным IP-адресом, и, конечно, только один брандмауэр может иметь этот адрес одновременно (если вы не работаете с какой-либо кластерной настройкой, которая не ваш случай).
Там мощь быть способами, чтобы оба брандмауэра работали и работали одновременно, но вам понадобится хотя бы другой общедоступный IP-адрес и перенастроить все удаленные брандмауэры для подключения ко второму IP-адресу, если они не могут связаться с первым; Я не знаю, о каком количестве туннелей мы говорим и сколько времени простоя вы можете себе позволить, но я бы сделал предварительную настройку нового брандмауэра с соответствующими настройками, чтобы заменить существующий, а затем просто поменять их местами; если что-то не работает, вы можете поменять их обратно и устранить неисправность.
Любое другое решение потребует гораздо больше работы.