服务器 Gind.cn
  1. 服务器 Gind.cn
  3. 过渡到新的GW /专用networking的build议
Intereting Posts
我可以检查上传的文件是否损坏? 有没有办法,手动检查openssl的CVE-2014-0160漏洞? 创build家庭testing实验室 这些电子邮件是什么意思? 微型邮件服务器的低端盒? 只允许使用.htaccess索引访问 Internet Explorer 8入门将不会消失 从priv1.edb和priv1.stm文件的旧副本还原邮箱 “系统pipe理的大小”对于Windows页面文件意味着什么? 如何在Office365 / Google Apps上拥有有限的用户,并在vanilla Postfix上保持平衡 Axis DMsuite RESTful API openssl:无法获得accounts.google.com的本地发行者证书 从Windows Server 2008 R2到2012的就地升级 Ubuntu PowerEdge T110 postfix虚拟地图正则expression式

过渡到新的GW /专用networking的build议

我用一个分支机构的ipsec隧道replace一个新的防火墙设备的私人T1链接。 我试图找出正确的方法来将新站点上的人员转移到新的连接,以便他们默认使用更快的隧道。

现有networking:192.168.254.0/24,gw 192.168.254.253(思科路由器插入私有t1)

testingnetworking我一直在使用ipsec隧道:192.168.1.0/24,gw 192.168.1.1(pfsense fw插入公共互联网),也插入与旧networking相同的交换机。

现有子网中可能有〜20-30个networking设备,大约有5个静态IP。 远程端点已经是防火墙 – 我无法build立到现有子网的冗余链接。 换句话说,只要将隧道configuration更改为指向192.168.254.0/24,现有子网中的所有设备都将停止工作,因为它们指向错误的网关。

我希望有一些能够缓慢执行此操作的能力 – 这样,在移动关键服务或不太容忍的用户之前,我可以通过几个客户端validation新链接的稳定性。

什么是正确的方法来做到这一点? 将所有设备上的networking掩码更改为/ 16,并将网关更新为指向新设备? 这会导致任何问题吗? 另外,我应该如何处理DNS? pfsense框不知道我的Active Directory环境。 但是,如果我更改DNS使用本地服务器,它将导致一个巨大的放缓,因为DNS查询仍然将通过私人t1路由。 我需要一些帮助来制定一个不太破坏性的计划,但是在我做最后的切换之前,我真的会让我彻底地testingIPSEC隧道的稳定性。

AD版本是2008R2,服务器也是如此。 工作站大多是Windows XP SP3。 我没有将192.168.1.0/24configuration为AD站点和服务中的站点。

迁移的最佳方式是将您的用户分配给具有由DHCPpipe理的寻址的不同Vlans; Vlans是必需的,因为您需要在Cisco / pfSense FW的边界内包含DHCP广播。 如果您不包含这些子网之间的DHCP广播,则会出现混乱和不可预测的连接。

要完成这个计划,你需要在你的问题中没有明确提到的以下硬件:

  • 支持Vlans的交换机
  • 中央DNS / DHCP服务器

IPSec迁移

configuration以下项目:

  • 在Cisco路由器上:

    • 假设Eth0连接到您的交换机,Cisco必须支持Vlan中继
    • 接口Eth0.10是192.168.254.253/24(Vlan10的默认gw)
    • 接口Eth0.30是192.168.2.2/24(pfSense / Cisco之间的传输子网)
    • 到总部路由器的默认路由
    • 在Eth0.10( ip helper-address 10.1.1.15 )上转发到10.1.1.15
    • 路由到pfSense LAN intf: ip route 192.168.1.0 255.255.255.0 192.168.2.1

  • 在pfSense FW上

    • 假设Eth0连接到交换机,pfSense支持Vlan中继
    • 接口Eth0.20是192.168.1.1/24(Vlan20的默认gw)
    • 接口Eth0.30是192.168.2.1/24(pfSense / Cisco之间的传输子网)
    • 通过IPSec隧道到HQ路由器的默认路由
    • IPSecconfiguration
    • 在Eth0.20上将DHCP转发到10.1.1.15
    • 通过192.168.2.2路由到Cisco LAN intf

  • HQ路由器

    • 通过思科路由192.168.254.0/24
    • 通过pfSense IPSec隧道路由192.168.1.0/24
    • 路由192.168.2.0/24通过思科(用于故障排除,以防万一…)

  • 在HQ AD / DNS / DHCP服务器上

    • DHCP范围为192.168.254.0/24
    • GW:192.168.254.253
    • DNS:10.1.1.15
    • DHCP范围为192.168.1.0/24
    • GW:192.168.1.1
    • DNS:10.1.1.15

完成后,Vlan10(绿色)将拉动DHCP 192.168.254.0/24,而Vlan20(粉红色)将拉动DHCP 192.168.1.0/24。 Vlan10和Vlan20将使用192.168.2.0/24作为传输子网,以防Vlan10和Vlan 20需要在该远程办公室内发送stream量(从而防止本地intra-vlanstream量发生WAN延迟)。

任何具有静态地址的东西都需要使用DNS才能确保在Vlan10和Vlan20之间尽可能无缝迁移。

当你想将人员迁移到pfSense IPSec连接时,只需将它们放在以太网交换机的Vlan 20上; 如果他们因为某种原因而不快乐,可以将它们放在Vlan10中,将它们移回到T1 WAN。

将主题更改为/ 16会产生巨大的广播范围,可能会导致新的问题,这将使诊断新隧道的运行变得困难。

这看起来非常简单,但是有没有什么理由不能在思科添加一些策略路由来select性地通过pfsense而不是默认gw路由一些IP?

或者再次,可能太简单了,但是有没有什么理由不能在新的范围内添加第二个IP,在任何正在testing的机器上,使用低度量的网关? 那么他们可以同时访问任何一个主题而没有并发症

我会和Sonassi一起设置一个辅助范围,然后我会把一个客户移到它上面进行testing。 如果你不能完全重新configuration一个客户端,那么通过新的网关添加一个静态路由和辅助IP给客户端进行testing可以让你把它留在旧的networking上并testing新的范围。