kann man bei einer Pix515e auf das Interface Outside zu der aktuellen öffentlichen IP Adresse noch eine weitere, ich nenne es mal Subadresse hinzufügen?
kurze beschreibung:
der aktuelle Internetzugang ist erst auf ein catalyst gepatcht. Das interface outside ist ebenfalls am catalyst angeschlossen. Ein neuer weiterer Internetzugang soll nun auch noch an den Catalyst angeschlossen werden und die Pix soll dann über diesen Zugang vpn-Tunnel aufbauen.
Ein Vorschlag wäre das einrichten eines Subinterfaces. Dieses kannst Du dann mit einem separaten Subnet ausstatten und genau gleich wie ein physikalischer Port verwenden. Damit kannst Du zwei verschiedenen Subnetze an einem einzigen physikalischen Interface betreiben. Wie Du im Konfig Beispiel unten sehen kannst wird ein Trunk eingerichtet. Auf dem Catalyst muss der Port an dem die PIX hängt ebenfalls als Trunk eingerichtet werden.
Routing technisch würde ich vorschlagen als Next-Hop für die Default Route den Router des ISP1 zu verwenden. Zusätzlich würde ich eine Host/Netz Route statisch konfigurieren die auf die VPN Peer IP zeigt und als Next-Hop den Router von ISP2 verwendet.
Vorsicht: Je nach Lizenz der PIX wird eine unterschiedliche Anzahl von Subinterfaces unterstützt. Bei der 515-E/Restricted sind es soviel ich weiss 3 logische Interfaces die benutzt werden können.
Konfigbeispiel: OS 6.3
' PIX Konfig
' Ethernet2 als Trunk für VLAN 5,6
interface ethernet2 100full
interface ethernet2 vlan5 physical
interface ethernet2 vlan6 logical
nameif ethernet2 isp1 security30
nameif vlan6 isp2 security29
ip address isp1 IP im Subnet 1
ip address isp2 IP im Subnet 2
'Catalyst
'interface an dem die PIX hängt
switchport mode trunk
switchport trunk encapsulation dot1q
switchport trunk access vlan 5,6
'interface an dem der Router von ISP1 hängt
switchport mode access
switchport access vlan 5
'interface an dem der Router von ISP2 hängt
switchport mode access
switchport access vlan 6
--> zusätzlich müssen auf dem Switch VLAN 5,6 existieren
