在 DR 站点设置与我们的主站点相同的网关地址

网络工程 思科 路由
2021-07-06 04:51:45

我有一个关于 2 个 Cisco ASA 5510 之间跨站点到站点 VPN 的路由流量的问题。我们有我们的办公室端和我们的 DR 端,问题是如果我在我的 DR 端的 ASA 上进行更改,我是否会遇到网关 IP 地址的 IP 冲突。下面是我们设置的说明。

我们在异地租用机柜用于 DR 目的。我们在这个 DR 站点有一个 Cisco ASA 5510,在主站点也有 5510,并在它们之间设置了一个站点到站点 VPN。DR 站点的子网与我们的服务器子网相同(如果我们需要在紧急情况下启动服务器,可以使生活更轻松),但 DR 的网关地址与主站点不同。在站点之间发送任何流量时,我们必须通过站点中创建的某些子网到达站点 VPN,并且它们之间是可路由的。

所以从办公室到DR站点的10个子网(服务器子网),站点到站点的VPN翻译:192.168.10.0/24到192.168.53.0/24

从 DR 到办公室,它将 192.168.10.0/24 转换为 192.168.52.0/24。

因此,如果您在 DR 并且需要在办公室查看一些东西,例如,您可以访问 192.168.52.1 以获取服务器。从办公室到我们的一台 VM 主机,该主机将关闭的服务器存储在 DR, 192.168.53.25。这一切都很好,它对我们有用。

我想做什么,我相信我应该可以更改它,因为站点之间的所有流量都必须转换为其他子网,因此将 DR 上的 192.168.10.8 网关地址(我的 DR ASA 上的内部接口 IP)更改为192.168.10.10 就像我在办公室的网关地址。我想这样做有几个原因,但因为我已经是一个非常罗嗦的打字员,我不会厌倦更多的细节。我们只是说在紧急情况下它会让事情变得更容易,但如果进行此更改是一件坏事,我不想关闭一个站点或另一个站点。

有人有这方面的经验,我会好吗?

2个回答

从它的声音来看,您应该能够毫无问题地做到这一点。这仅仅是因为您正在进行的 NAT。

有点警告,如果服务器都具有静态 IP 和默认网关,更改防火墙的 IP(当前网关)可能会使访问服务器变得更加困难,因为它们不知道如何到达 192.168。 53.0/24 没有默认网关。

缓解这种情况的一种方法是在一台服务器上创建一条静态路由,该路由指向 192.168.10.10,用于流向 192.168.53.0/24 的流量。

另一种方法是在 ASA 上为主站点上的单个主机创建新的 NAT 规则。然后在 DR 站点的 ASA 上,再次 NAT 使其与服务器位于同一子网上。

比如说,主机 192.168.10.50 被 NAT 转换为 192.168.54.254,然后通过 VPN 推送。然后 DR ASA 再次对此进行 NAT 以将源更改为 192.168.10.254。当 DR 上的服务器看到此源 IP 时,它们将知道如何响应,因为它位于同一子网中。

我认为进行更改以使两个位置的所有内容都相同是很有意义的。因为两个站点都隐藏在 NAT 后面,所以不应该发生冲突。您是否在两个位置之间使用静态路由?

其它你可能感兴趣的问题
上一篇CheckPoint SmartDashboard 报告文件 (mht) 到 csv 文件 下一篇EVPN MAC 广告路由未安装到 L2 转发表