[ gogo82 @ 19.05.2011. 18:51 ] @
Pozdrav svima!!! Na poslu sam naisao na jedan problem sa Cisco PIX-e, tacnije sa uspostavljanjem dva IPSec tunela (LAN-to-LAN) sa drugom firmom (nazvacemo je FIRMA B). Evo o cemu se radi ... Sve do neki dan, moja firma je imala IPSec tunel prema toj drugoj FIRMI B, LAN-to-LAN koji se koristio da radne stanice sa privatne mreze te druge firme, pristupaju jednom nasem serveru na nasoj privatnoj mrezi ... klasicno IPSec peering i sve je funkcionisalo OK. Medjutim, sad je ta firma zakupila dodatni Internet link tako da sad koristi redundantni izlaz na javni internet i zeli da i preko tog redundantnog linka (razlicit firewall) ostvari drugi IPsec tunel prema nasoj mrezi LAN-to-LAN. Problem je sto mi nemamo dva izlazna firewall-a na kao oni. Znaci FIRMA B ima dva izlazna firewall-a. Firewall 1 se koristi kao ISAKMP Peer u vec postojecem tunelu, dok se drugi Firewall treba koristiti kao ISAKMP Peer za novi, dodatni tunel. LAN mreza FIRME_B znaci moze da izlazi na javnu mrezu preko ta dva FIREWALL-a. Moja firma ima samo jedan izlazni firewall, Cisco PIX 515e, i njegova javna adresa se koristi kao ISAKMP peer u oba tunela (gledano sta strane FIRME B). Znaci treba da postoje dva IPSec tunela na LAN FIRME_B i to: 1. tunel: formiran izmedju naseg_FIREWALL-a i Firewall-a_1 FIRME_B 2. tunel: formiran izmedju naseg FIREWALL-a i Firewall-a_2 FIRME_B Saobracaj treba da bude load balance ili da se jedan tunel korisdti kao primarni a drugi kao sekundarni. Na NASEM FIREWALL-u postoji staticka outside ruta na LAN FIRME B gdje je NEXT HOP jednak IP adresi FIREWALL_1 sa defaultnom administrativnom distancom 1. Pokusao sam da dodam jos jednu rutu na LAN FIRME B gdje bi NEXT HOP bio jednak IP adresi FIREWALL_2 sa istom Administrativnom distancom 1 ali mi to PIX ne dozvoljava, tako da kad nasi serveri iniciraju podizanje tunela, uvijek saobracaj ide preko vec postojeceg tunela, tj na FIREWALL_1 FIRME B. Do sada nisam pronasao nacin kako da se koristi i drugi tunel ako npr prvi tunel otkaze. Ima li neko ideju kako da napravim, uzimajuci u obzir postojecu topologiju, da mogu da koristim i drugi IPSec tunel kao LOAD BALANCE ili da se drugi tunel koristi kao backup u slucaju da prvi tunel ne radi????? Na netu sam nasao sledece: http://itknowledgeexchange.tec...tanswers/pix-firewall-problem/ gdje se navodi da nesto takvo (load balance na PIX-u) nije moguce. Da li neko mozda zna rjesenje ili se susreo vec sa slicnim problemom??? Hvala unaprijed!!! [Ovu poruku je menjao gogo82 dana 19.05.2011. u 20:02 GMT+1] [Ovu poruku je menjao gogo82 dana 19.05.2011. u 21:25 GMT+1] |