有一台 Cisco 1800 路由器,无 nat,有 2 个互联网连接。两者都有自己的 IP 范围和路由器 IP。想用一个用于互联网,另一个用于 VPN,但不知道如何在一个防火墙中查看两个公共 IP,因为防火墙设置只允许其中一个源的 IP 范围。防火墙没有双 ISP,只有一个 WAN 端口。
有什么想法吗?也许可以添加路线?
答案1
一般来说,我认为你需要一个大型互联网连接。如果你需要冗余,那么可能会有人讨论是否需要 BGP 来进行 IP 空间故障转移之类的。不过我确实想过如何让它发挥作用……这只是凌晨 2 点的瞎猜……需要先在实验室进行测试,等等……
但是,您可以将 cisco 1841 用作远程访问客户端的 VPN 端点,并将用于该端点的接口放在单独的 vrf 中。每个 vrf 都有自己的路由表。在这种情况下,您将有两个 vrf:全局(默认)vrf,您的互联网浏览公共接口和私有接口驻留在其中,以及您的 vpn vrf。例如:
ip vrf vpn
rd 1:1
ip vrf default
rd 2:2
interface fa0/0
description dsl for browsing
ip vrf forwarding default
ip address 172.16.0.2 255.255.255.0
interface fa0/1
description cable internet for vpn
ip vrf forwarding vpn
ip address 172.18.0.2 255.255.255.0
interface vlan 1
description private lan
ip vrf forwarding default
ip address 192.168.0.1 255.255.255.0
ip route vrf default 0.0.0.0 0.0.0.0 172.16.0.1
ip route vrf vpn 0.0.0.0 0.0.0.0 172.18.0.1
您会看到两个 Internet 连接都是分开的。您可以像这样将 VPN 客户端重新绑定到您的专用网络:
crypto isakmp profile cisco
vrf deafult
crypto dynamic-map dynmap 10
set isakmp-profile cisco