我有一个主机托管设施,里面有我的主要防火墙。它有一系列从主防火墙到远程设施防火墙的站点到站点 VPN 隧道。
我想用 Cisco ASA 替换主防火墙,但我想减少停机时间。我想安装 ASA 并配置到远程设施中的新防火墙的 VPN 隧道,而无需关闭旧防火墙上已创建的 VPN 隧道。
我原本想将交换机拆分为两个 VLAN,并将两个防火墙的上行链路和外部接口连接到一个 VLAN,然后将两个防火墙的内部接口连接到另一个 VLAN。但后来我突然意识到,我需要一个公共 IP 地址来设置 VPN,而两个防火墙的外部接口不能具有相同的公共 IP 地址……
那么我们应该怎么做呢?如何才能在网络中心放置第二道防火墙,同时又不影响原来的防火墙正常运行呢?
答案1
如果您当前的防火墙充当 VPN 端点,则远程防火墙将被配置为联系其公共 IP 地址,当然,只有一个防火墙可以同时拥有该地址(除非您使用某种集群设置,但情况并非如此)。
那里可能有办法让两个防火墙同时启动并运行,但至少需要另一个公共 IP 地址,并且如果无法连接到第一个防火墙,则需要重新配置所有远程防火墙以连接到第二个 IP;我不知道我们谈论的隧道数量以及您可以承受多少停机时间,但我会做的是预先配置新的防火墙并使用适当的设置来替换现有的防火墙,然后交换它们;如果出现问题,您可以将它们交换回去并进行故障排除。
任何其他解决方案都需要做更多的工作。