Vpn
如何在不使用外部介面 IP 地址的情況下在 ASA 上配置 LAN 到 LAN VPN?
我有兩個 /28 子網 A 和 B。
我的 PIX 和 ASA 的外部介面地址都在子網 A 中。
我正在從 PIX 遷移到 ASA,需要將 ASA 上的 PIX 外部介面地址用於最後兩個剩餘的區域網路到區域網路 VPN。
我這樣做是因為這些 VPN 連接到的供應商是巨大的 IT 恐龍,並且會帶他們 aaages 對他們的 sh*t 進行排序……這意味著我需要將 IP 地址移動到我的 ASA,這樣我就不用費心了他們更改為新的對等 IP。
我一直在試圖弄清楚如何設置我的 VPN 對等方的特定 IP 地址,但我不知道如何..
我什至在物理上連接了第二個乙太網埠,並嘗試在同一範圍內給它一個類似的 IP,它說不可能在同一子網中擁有兩個具有 IP 的外部地址。
看來你有點吃不消了。
不能設置隧道的IP地址;它是從介面派生的。正如您所注意到的,您不能在與現有介面相同的子網上創建另一個物理介面。
我想您已經有人指向 ASA IP 地址,所以您不能簡單地快速切換到 PIX IP 地址嗎?
如果您只需要停用 PIX,根據您的 ASA 程式碼版本(9.0 或更高版本)和硬體(PIX 5510/20 或更高版本),您可以啟動另一個上下文並將 PIX IP 地址放在那裡。這並不能解決管理和終止隧道的兩個不同事物的邏輯問題,但確實讓您擺脫了舊硬體。
http://www.cisco.com/en/US/docs/security/asa/asa90/configuration/guide/ha_contexts.html#wp1035807
也許 IT 恐龍有一些事情是對的?;)