过渡到新网关/专用网络的建议

Question 1

迁移的最佳方法是将您的用户分配到不同的 Vlan，并通过 DHCP 管理地址；Vlan 是必需的，因为您需要一种方法来包含 Cisco / pfSense FW 边界内的 DHCP 广播。如果您不包含这些子网之间的 DHCP 广播，您将获得混乱和不可预测的连接。

为了完成这个计划，你需要以下在你的问题中没有明确提到的硬件：

支持 Vlan 的交换机
中央 DNS/DHCP 服务器

IPSec 迁移

配置以下项目：

在 Cisco 路由器上：
- 假设 Eth0 连接到你的交换机，思科必须支持 Vlan trunk
- 接口 Eth0.10 是 192.168.254.253/24（Vlan10 的默认网关）
- 接口 Eth0.30 是 192.168.2.2/24（pfSense/Cisco 之间的传输子网）
- 到 HQ 路由器的默认路由
- DHCP 转发至 Eth0.10 上的 10.1.1.15（ip helper-address 10.1.1.15）
- 路由到 pfSense LAN intf：ip route 192.168.1.0 255.255.255.0 192.168.2.1
在 pfSense FW 上
- 假设 Eth0 已连接到您的交换机，pfSense 支持 Vlan trunk
- 接口 Eth0.20 是 192.168.1.1/24（Vlan20 的默认网关）
- 接口 Eth0.30 是 192.168.2.1/24（pfSense/Cisco 之间的传输子网）
- 通过 IPSec 隧道到 HQ 路由器的默认路由
- IPSec 配置
- DHCP 转发至 Eth0.20 上的 10.1.1.15
- 通过 192.168.2.2 路由到 Cisco LAN intf
HQ 路由器
- 通过 Cisco 路由 192.168.254.0/24
- 通过 pfSense IPSec 隧道路由 192.168.1.0/24
- 通过思科路由 192.168.2.0/24（用于故障排除，以防万一......）
在 HQ AD/DNS/DHCP 服务器上
- 192.168.254.0/24 的 DHCP 范围
- 网关：192.168.254.253
- DNS：10.1.1.15
- 192.168.1.0/24 的 DHCP 范围
- 网关：192.168.1.1
- DNS：10.1.1.15

完成此操作后，Vlan10（绿色）将拉取 192.168.254.0/24 中的 DHCP，而 Vlan20（粉色）将拉取 192.168.1.0/24 中的 DHCP。如果 Vlan10 和 Vlan 20 需要在该远程办公室内发送流量（从而防止本地 VLAN 内流量的 WAN 延迟），Vlan10 和 Vlan20 将使用 192.168.2.0/24 作为中转子网。

任何具有静态地址的东西都需要使用 DNS 来确保在 Vlan10 和 Vlan20 之间尽可能无缝地迁移。

当您想要将人们迁移到 pfSense IPSec 连接时，只需将他们放在以太网交换机上的 Vlan 20 中；如果他们因为某种原因不满意，您可以将他们放在 Vlan10 中并将他们移回 T1 WAN。

Answer

迁移的最佳方法是将您的用户分配到不同的 Vlan，并通过 DHCP 管理地址；Vlan 是必需的，因为您需要一种方法来包含 Cisco / pfSense FW 边界内的 DHCP 广播。如果您不包含这些子网之间的 DHCP 广播，您将获得混乱和不可预测的连接。

为了完成这个计划，你需要以下在你的问题中没有明确提到的硬件：

支持 Vlan 的交换机
中央 DNS/DHCP 服务器

IPSec 迁移

配置以下项目：

在 Cisco 路由器上：
- 假设 Eth0 连接到你的交换机，思科必须支持 Vlan trunk
- 接口 Eth0.10 是 192.168.254.253/24（Vlan10 的默认网关）
- 接口 Eth0.30 是 192.168.2.2/24（pfSense/Cisco 之间的传输子网）
- 到 HQ 路由器的默认路由
- DHCP 转发至 Eth0.10 上的 10.1.1.15（ip helper-address 10.1.1.15）
- 路由到 pfSense LAN intf：ip route 192.168.1.0 255.255.255.0 192.168.2.1
在 pfSense FW 上
- 假设 Eth0 已连接到您的交换机，pfSense 支持 Vlan trunk
- 接口 Eth0.20 是 192.168.1.1/24（Vlan20 的默认网关）
- 接口 Eth0.30 是 192.168.2.1/24（pfSense/Cisco 之间的传输子网）
- 通过 IPSec 隧道到 HQ 路由器的默认路由
- IPSec 配置
- DHCP 转发至 Eth0.20 上的 10.1.1.15
- 通过 192.168.2.2 路由到 Cisco LAN intf
HQ 路由器
- 通过 Cisco 路由 192.168.254.0/24
- 通过 pfSense IPSec 隧道路由 192.168.1.0/24
- 通过思科路由 192.168.2.0/24（用于故障排除，以防万一......）
在 HQ AD/DNS/DHCP 服务器上
- 192.168.254.0/24 的 DHCP 范围
- 网关：192.168.254.253
- DNS：10.1.1.15
- 192.168.1.0/24 的 DHCP 范围
- 网关：192.168.1.1
- DNS：10.1.1.15

完成此操作后，Vlan10（绿色）将拉取 192.168.254.0/24 中的 DHCP，而 Vlan20（粉色）将拉取 192.168.1.0/24 中的 DHCP。如果 Vlan10 和 Vlan 20 需要在该远程办公室内发送流量（从而防止本地 VLAN 内流量的 WAN 延迟），Vlan10 和 Vlan20 将使用 192.168.2.0/24 作为中转子网。

任何具有静态地址的东西都需要使用 DNS 来确保在 Vlan10 和 Vlan20 之间尽可能无缝地迁移。

当您想要将人们迁移到 pfSense IPSec 连接时，只需将他们放在以太网交换机上的 Vlan 20 中；如果他们因为某种原因不满意，您可以将他们放在 Vlan10 中并将他们移回 T1 WAN。

Question 2

将主题更改为 /16 会产生巨大的广播范围，并且可能会导致新的问题，从而难以诊断新隧道的运行情况。

这看起来很简单，但是有什么理由不能在 Cisco 上添加一些策略路由来通过 pfSense 框而不是默认 gw 有选择地路由某些 IP？

或者，可能太简单了，但是有什么理由不能在新范围内为正在测试的任何机器添加第二个 IP，并使用较低度量的网关？然后他们可以同时访问任一主题而不会出现复杂情况？

Answer

将主题更改为 /16 会产生巨大的广播范围，并且可能会导致新的问题，从而难以诊断新隧道的运行情况。

这看起来很简单，但是有什么理由不能在 Cisco 上添加一些策略路由来通过 pfSense 框而不是默认 gw 有选择地路由某些 IP？

或者，可能太简单了，但是有什么理由不能在新范围内为正在测试的任何机器添加第二个 IP，并使用较低度量的网关？然后他们可以同时访问任一主题而不会出现复杂情况？

Question 3

我会选择 Sonassi 来设置辅助范围，然后将一个客户端移到该范围进行测试。如果您无法完全重新配置一个客户端，那么通过新网关向客户端添加静态路由和辅助 IP 以供测试，这样您就可以将其留在旧网络上并测试新范围。

Answer

我会选择 Sonassi 来设置辅助范围，然后将一个客户端移到该范围进行测试。如果您无法完全重新配置一个客户端，那么通过新网关向客户端添加静态路由和辅助 IP 以供测试，这样您就可以将其留在旧网络上并测试新范围。

过渡到新网关/专用网络的建议

答案1

答案2

答案3

相关内容