我有两个 /28 子网 A 和 B。
我的 PIX 和 ASA 的外部接口地址都在子网 A 中。
我正处于从 PIX 到 ASA 的迁移过程中,并且需要使用 ASA 上的 PIX 外部接口地址来连接最后两个剩余的 LAN 到 LAN VPN。
我这样做是因为这些 VPN 所连接的供应商都是庞大的 IT 巨头,会花很长时间来整理他们的事情...这意味着我需要将 IP 地址移动到我的 ASA,这样我就不用费心让他们更改为新的对等 IP。
我一直在尝试弄清楚如何为我的 VPN 对等端设置特定的 IP 地址,但我无法弄清楚如何...
我甚至物理连接了第二个以太网端口并尝试给它一个同一范围内的类似 IP,但它说不可能有两个外部地址的 IP 位于同一子网中。
答案1
看来你有点麻烦了。
您无法设置隧道的 IP 地址;它是从接口派生出来的。正如您所注意到的,您无法在与现有接口相同的子网上创建另一个物理接口。
我想已经有人指出了 ASA 的 IP 地址,所以您不能简单地切换到 PIX 的 IP 地址?
如果您只需要让 PIX 退役,则根据您的 ASA 代码版本(9.0 或更高版本)和硬件(PIX 5510/20 或更高版本),您可以启动另一个上下文并将 PIX IP 地址放在那里。这并不能解决使用两个不同的设备来管理和终止隧道的逻辑问题,但确实可以让您摆脱旧硬件。
http://www.cisco.com/en/US/docs/security/asa/asa90/configuration/guide/ha_contexts.html#wp1035807
也许 IT 恐龙有几件事是对的?;)