Cisco 1800 Router, ISP duplo, mas um firewall

3

Tenho um roteador Cisco 1800, não nat, com 2 conexões de internet. Ambos vêm com faixas IP próprias e IP do roteador. Deseja usar um para internet e outro para VPN, mas não consegue descobrir como ver os dois IPs públicos a partir de um único firewall, pois as configurações do firewall permitem apenas o alcance de IP de uma das fontes. O firewall não tem o dual-isp apenas uma porta para a WAN.

Alguma ideia? Adicionando rotas talvez?

    
por user30393 16.07.2010 / 14:16

1 resposta

2

De um modo geral, eu diria que você precisa de uma única grande conexão à Internet. Se você precisar de redundância, pode haver uma discussão sobre se você precisa de BGP para failover do seu espaço IP ou algo assim. Eu pensei em como você poderia fazer este trabalho de qualquer maneira ... Esta é apenas uma foto às 2 da madrugada no escuro ... ela precisaria ser testada em um laboratório primeiro, etc ...

Mas você poderia usar seu cisco 1841 como o endpoint VPN para seus clientes de acesso remoto e colocar a interface que você usa para isso em um vrf separado. Cada vrf tem sua própria tabela de roteamento. Neste caso, você teria dois vrfs: o global (padrão) vrf onde sua interface pública de navegação na Internet e sua interface privada residem, e seu vrn vpn. Por exemplo:

ip vrf vpn
 rd 1:1
ip vrf default
 rd 2:2
interface fa0/0
 description dsl for browsing
 ip vrf forwarding default
 ip address 172.16.0.2 255.255.255.0
interface fa0/1
 description cable internet for vpn
 ip vrf forwarding vpn
 ip address 172.18.0.2 255.255.255.0
interface vlan 1
 description private lan 
 ip vrf forwarding default
 ip address 192.168.0.1 255.255.255.0
ip route vrf default 0.0.0.0 0.0.0.0 172.16.0.1
ip route vrf vpn 0.0.0.0 0.0.0.0 172.18.0.1

Você vê as duas conexões da Internet separadas. Você ligaria seus clientes VPN de volta à sua rede privada da seguinte forma:

crypto isakmp profile cisco
 vrf deafult
crypto dynamic-map dynmap 10
 set isakmp-profile cisco
    
por 30.07.2011 / 07:40