Cisco 1800 路由器,双 ISP,但有一个防火墙

Cisco 1800 路由器,双 ISP,但有一个防火墙

有一台 Cisco 1800 路由器,无 nat,有 2 个互联网连接。两者都有自己的 IP 范围和路由器 IP。想用一个用于互联网,另一个用于 VPN,但不知道如何在一个防火墙中查看两个公共 IP,因为防火墙设置只允许其中一个源的 IP 范围。防火墙没有双 ISP,只有一个 WAN 端口。

有什么想法吗?也许可以添加路线?

答案1

一般来说,我认为你需要一个大型互联网连接。如果你需要冗余,那么可能会有人讨论是否需要 BGP 来进行 IP 空间故障转移之类的。不过我确实想过如何让它发挥作用……这只是凌晨 2 点的瞎猜……需要先在实验室进行测试,等等……

但是,您可以将 cisco 1841 用作远程访问客户端的 VPN 端点,并将用于该端点的接口放在单独的 vrf 中。每个 vrf 都有自己的路由表。在这种情况下,您将有两个 vrf:全局(默认)vrf,您的互联网浏览公共接口和私有接口驻留在其中,以及您的 vpn vrf。例如:

ip vrf vpn
 rd 1:1
ip vrf default
 rd 2:2
interface fa0/0
 description dsl for browsing
 ip vrf forwarding default
 ip address 172.16.0.2 255.255.255.0
interface fa0/1
 description cable internet for vpn
 ip vrf forwarding vpn
 ip address 172.18.0.2 255.255.255.0
interface vlan 1
 description private lan 
 ip vrf forwarding default
 ip address 192.168.0.1 255.255.255.0
ip route vrf default 0.0.0.0 0.0.0.0 172.16.0.1
ip route vrf vpn 0.0.0.0 0.0.0.0 172.18.0.1

您会看到两个 Internet 连接都是分开的。您可以像这样将 VPN 客户端重新绑定到您的专用网络:

crypto isakmp profile cisco
 vrf deafult
crypto dynamic-map dynmap 10
 set isakmp-profile cisco

相关内容