我想在总部和分支机构之间build立一个站点到站点的IPSec VPN隧道,出于政治/安全方面的考虑,唯一的目的是能够访问分支机构的“pipe理”子网,不是他们的主要LAN。
这个“pipe理”VLAN /子网中没有一个网卡具有默认网关:这些需要pipe理的设备是多宿主和“跨”两个networking,并且因为它们需要通过LAN VLAN /子网访问Internet,所以在LAN VLAN /子网上的NIC具有默认网关设置为10.0.0.1; MGMT网卡没有默认网关。
因为这些网卡上没有默认网关,所以我假设我必须设置一个桥接VPN和一个路由VPN,这样我的HQ LAN机器将在MGMTnetworking上有一个VPN IP(例如10.1.1.254/24 )。 我假设这些设备不支持静态路由(其中一些是具有有限networkingconfiguration的设备)。
我很肯定这是通过XP工作站的VPN客户端拨入时典型的Microsoft RRAS PPTP安装程序的工作原理,但可以在总部的多台计算机上工作吗? 我假设每个HQ机器都会在10.1.1.254的VPN IP之后进行SNAT? 思科ASA 5505是否支持? 我不想让任何stream量通过隧道到总部的LAN。
编辑我可能会在总部一侧的隔离MGMT VLAN中设置一个小的广播域,以最大限度地减less通过隧道的所有ARP /广播stream量。
[HQ]
局域网:192.168.0.0/24
GW(Cisco ASA 5505):192.168.0.1
[科]
“LAN”VLAN /子网:10.0.0.0/24 GW(fe0 10.0.0.1/24)
“MGMT”VLAN /子网:10.1.1.0/24(fe1 10.1.1.0/24)