メインファイアウォールを備えたコロケーション施設があります。メインファイアウォールからリモート施設にあるファイアウォールまで構築されたサイト間VPNトンネルが多数あります。
そのメインファイアウォールをCiscoASAに置き換えたいのですが、ダウンタイムを減らしたいのです。古いファイアウォールですでに作成されているVPNトンネルを停止せずに、ASAを配置し、リモートファシリティの新しいファイアウォールへのVPNトンネルを設定したいと思います。
スイッチを2つのVLANに分割し、両方のファイアウォールのアップリンクと外部インターフェイスを1つのVLANに接続してから、両方のファイアウォールの内部インターフェイスをもう一方のVLANに接続することを考えていました。 VPNをセットアップするためにパブリックIPアドレスが必要であり、両方のファイアウォールが外部インターフェイスで同じパブリックIPアドレスを持つことができないことに気づきました...
それで、男は何をするのですか?ネットワークの中心に2つ目のファイアウォールを配置し、元のファイアウォールを稼働させ続けるにはどうすればよいですか?
現在のファイアウォールがVPNエンドポイントとして機能している場合、リモートファイアウォールはパブリックIPアドレスに接続するように構成されます。もちろん、同時に1つのファイアウォールのみがそのアドレスを持つことができます(ある種のクラスター化されたセットアップで作業している場合を除く)。あなたの場合ではありません)。
可能性があります両方のファイアウォールを同時に稼働させる方法はありますが、少なくとも別のパブリックIPアドレスが必要であり、2番目のIPに接続できない場合は、すべてのリモートファイアウォールを再構成する必要があります。最初のものに到達します。話しているトンネルの数とダウンタイムの余裕はわかりませんが、新しいファイアウォールを適切な設定で事前構成して、既存のファイアウォールを置き換えてから、それらを交換するだけです。何かがうまくいかない場合は、それらを元に戻してトラブルシューティングすることができます。
他のソリューションでは、はるかに多くの作業が必要になります。