bodo40 10 Geschrieben 31. August 2006 Melden Teilen Geschrieben 31. August 2006 Hallo, kann man bei einer Pix515e auf das Interface Outside zu der aktuellen öffentlichen IP Adresse noch eine weitere, ich nenne es mal Subadresse hinzufügen? kurze beschreibung: der aktuelle Internetzugang ist erst auf ein catalyst gepatcht. Das interface outside ist ebenfalls am catalyst angeschlossen. Ein neuer weiterer Internetzugang soll nun auch noch an den Catalyst angeschlossen werden und die Pix soll dann über diesen Zugang vpn-Tunnel aufbauen. Sieht einer von euch dabei ein problem? Danke Bodo40 Zitieren Link zu diesem Kommentar
patrikbolt 10 Geschrieben 1. September 2006 Melden Teilen Geschrieben 1. September 2006 Hallo Ein Vorschlag wäre das einrichten eines Subinterfaces. Dieses kannst Du dann mit einem separaten Subnet ausstatten und genau gleich wie ein physikalischer Port verwenden. Damit kannst Du zwei verschiedenen Subnetze an einem einzigen physikalischen Interface betreiben. Wie Du im Konfig Beispiel unten sehen kannst wird ein Trunk eingerichtet. Auf dem Catalyst muss der Port an dem die PIX hängt ebenfalls als Trunk eingerichtet werden. Routing technisch würde ich vorschlagen als Next-Hop für die Default Route den Router des ISP1 zu verwenden. Zusätzlich würde ich eine Host/Netz Route statisch konfigurieren die auf die VPN Peer IP zeigt und als Next-Hop den Router von ISP2 verwendet. Vorsicht: Je nach Lizenz der PIX wird eine unterschiedliche Anzahl von Subinterfaces unterstützt. Bei der 515-E/Restricted sind es soviel ich weiss 3 logische Interfaces die benutzt werden können. Konfigbeispiel: OS 6.3 ' PIX Konfig ' Ethernet2 als Trunk für VLAN 5,6 interface ethernet2 100full interface ethernet2 vlan5 physical interface ethernet2 vlan6 logical nameif ethernet2 isp1 security30 nameif vlan6 isp2 security29 ip address isp1 IP im Subnet 1 ip address isp2 IP im Subnet 2 'Catalyst 'interface an dem die PIX hängt switchport mode trunk switchport trunk encapsulation dot1q switchport trunk access vlan 5,6 'interface an dem der Router von ISP1 hängt switchport mode access switchport access vlan 5 'interface an dem der Router von ISP2 hängt switchport mode access switchport access vlan 6 --> zusätzlich müssen auf dem Switch VLAN 5,6 existieren Ich hoffe ich konnte Dir helfen. Gruss Patrik Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.