-= Brummbär =- 10 Geschrieben 20. Februar 2007 Melden Teilen Geschrieben 20. Februar 2007 Hallo, Ich habe die Konstellation, dass ich in der Zentrale 2 mal SDSL schalten möchte. Die Außenstellen sollen dann auf die beiden Anschlüsse aufgeteilt werden. Wenn einer der beiden Anschlüsse wegbricht, soll zur Not der andere Anschluss genommen werden. Bei den Außenstellen könnte ich einfach ein zweites Peer in der crypto map mit angeben. Wie kann ich aber sicherstellen, dass der Weg zurück funktioniert? +-- Router ----- {SDSL} -----normal---+ / \ (Zentrale )--Firewall (PIX 506) Firewall (Außenstelle) \ / +-- Router ----- {SDSL} -----backup---+ Die Router werden öffentliche, feste IPs bekommen. Die Firewall dahinter könnte auch eine öffentliche IP bekommen. Der Frage die sich mir stellt ist: wie bekommt die Firewall mit über welchen Router die Pakete zurück geschickt werden müssen. Wenn ich feste Routen eintrag (Außenstelle X über Router 1 und Außenstelle Y über Router 2) hätte ich für den Backupfall keinen Rückweg. Ich hoffe, dass ich mich verständlich genug ausgedrückt habe. Wenn in der oben skizzierten Konstellation ein zusätzlicher Router Sinn machen würde, dann wäre das auch kein Problem. Zitieren Link zu diesem Kommentar
Wordo 11 Geschrieben 20. Februar 2007 Melden Teilen Geschrieben 20. Februar 2007 Fuer sowas verwendet man dynamisches Routing. Was ist das fuer eine Firewall dahinter und was fuer Routermodelle hast du in der Zentrale? Zitieren Link zu diesem Kommentar
-= Brummbär =- 10 Geschrieben 20. Februar 2007 Autor Melden Teilen Geschrieben 20. Februar 2007 Fuer sowas verwendet man dynamisches Routing. Was ist das fuer eine Firewall dahinter und was fuer Routermodelle hast du in der Zentrale? Die Zentrale hat eine PIX 506. Die Außenstellen haben PIXen 501. Die Router in der Zentrale gibt es noch nicht, da wir im Moment nur eine SDSL-Leitung haben und die direkt an der 506 hängt. Angedacht sind aber 876er. Könntest du mir noch etwas mehr Infos dazu geben? Für die letztendliche Umsetzung wird unser Systemhaus hoffentlich sorgen. Aber ich möchte vorher für mich klar haben wie so etwas am besten funktioniert. Es ist ja immer besser, wenn man sich vorher selber mal Gedanken dazu macht. Zitieren Link zu diesem Kommentar
Wordo 11 Geschrieben 20. Februar 2007 Melden Teilen Geschrieben 20. Februar 2007 Also in der Konstellation hab ich es selbst noch nicht gemacht. Mit PIX hab ich auch sehr wenig Erfahrung. So wuerd ichs machen: http://www.cisco.com/en/US/customer/products/hw/vpndevc/ps2030/products_data_sheet09186a0080091b13.html "Companies can also improve their overall network resiliency by taking advantage of the robust Open Shortest Path First (OSPF) dynamic routing services provided by Cisco PIX Security Appliances, which can detect network outages within seconds and route around them." Ich wuerde zwischen den 2 876ern und der PIX OSPF aktivieren, auf den 876 natuerlich noch RRI damit die VPN Routen ins OSPF eingespeist werden. Auf der "Client"-Seite musst du nix machen, bis auf das Backuppeer eintragen. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.