我想在总部和分支机构之间建立站点到站点的 IPSec VPN 隧道,出于政治/安全原因,其唯一目的是能够访问分支机构的“管理”子网,而不是其主 LAN。
此“管理”VLAN/子网上的所有 NIC 均没有默认网关:这些需要管理的设备是多宿主的并且“跨越”两个网络,并且由于它们需要通过 LAN VLAN/子网访问 Internet,因此 LAN VLAN/子网上的 NIC 的默认网关设置为 10.0.0.1; MGMT NIC 没有默认网关。
由于这些 NIC 上没有默认网关,我假设我必须设置桥接 VPN 而不是路由 VPN,这样我的 HQ LAN 机器在 MGMT 网络上将拥有 VPN IP(例如 10.1.1.254/24)。我假设这些设备不支持静态路由(其中一些是网络配置有限的设备)。
我很确定当您通过 XP 工作站的 VPN 客户端拨入时,典型的 Microsoft RRAS PPTP 设置就是这样工作的,但这可以用于 HQ 上的多台机器吗?我假设每台 HQ 机器都将在 VPN IP 10.1.1.254 后面进行 SNAT?Cisco ASA 5505 是否支持此功能?我也不想允许任何流量通过隧道返回到 HQ LAN。
编辑 我可能会在 HQ 端隔离的 MGMT VLAN 中设置一个小型广播域,以尽量减少通过隧道的所有 ARP/广播流量。
[总部]
局域网:192.168.0.0/24
网关(思科 ASA 5505):192.168.0.1
[分支]
“LAN” VLAN/子网:10.0.0.0/24 GW(fe0 10.0.0.1/24)
“MGMT” VLAN/子网:10.1.1.0/24(fe1 10.1.1.0/24)