我有一个主机防火墙的托pipe设施。 它具有从主防火墙到远程设施中的防火墙构build的一堆站点到站点VPN隧道。
我想用思科ASA取代主防火墙,但是我想减less停机时间。 我想将ASA放入并configurationVPN隧道到远程设施中的新防火墙,而不必closures已经在旧防火墙上创build的VPN隧道。
我想我会把一个交换机分成两个VLAN,将两个防火墙的上行链路和外部接口挂接到一个VLAN,然后将两个防火墙的内部接口挂接到另一个VLAN。 但是,然后它打我,我需要一个公共IP地址来build立一个VPN,两个防火墙不能在其外部接口上具有相同的公共IP地址…
那么,一个人该做什么? 我怎么能把第二个防火墙放在我的networking的核心,并保持原来的运行?
如果您当前的防火墙充当VPN端点,远程防火墙将被configuration为联系其公共IP地址,当然,只有一个防火墙可以同时拥有该地址(除非您正在使用某种集群设置,不是你的情况)。
可能有办法同时启动和运行两个防火墙,但是至less需要另一个公共IP地址,并且重新configuration所有远程防火墙以连接到第二个IP(如果它们不能到达第一个IP地址); 我不知道我们在谈论多less隧道,可以承受多less停机时间,但是我要做的是用适当的设置预先configuration新的防火墙,以replace现有的防火墙,然后交换它们; 如果某些东西不起作用,则可以将其交换回来并排除故障。
任何其他解决scheme都需要更多的工作。