136423
Nov 19, 2018
2579
13
0
Dediziertes ISP -Routing
Liebe Community,
Ich hätte eine kurze Frage an euch. Durch verschiedene Umstände kann es nun sein, dass sich zwei (sehr sehr) kleine Firmen eine IT-Zentrale teilen werden (es ist nicht optimal, aber den Umständen entsprechend nachvollziehbar).
Geplant sind verschiedene Internetverbindungen für die beiden Firmen, allerdings steht auf Firmenseite nur eine einzige Cisco ASA Firewall (5508-X).
Meine Frage wäre. "Ist es möglich zwei verschiedene PPPoE Einwahlen" mit einer ASA zu realisieren (an zwei outside Interfaces)?
Die Wege der Firmennetze trennen sich dann hier (danach kommt jeweils ein Layer-3-Switch).
Die Netze sollen nicht miteinander kommunizieren. Was allerdings notwendig wäre, ist ein Routing vom Outside-Interface des jeweiligen ISP in Richtung des richtigen Subnetzes:
ISP-1 => 10.0.0.0/48
ISP-2 => 20.0.0.0/48
Sowie ein Routing nach außen zum jeweiligen outside-Interface:
10.0.0.0/48 => ISP-1
20.0.0.0/48 => ISP-2
Ist so etwas möglich? Dann nicht über Default-Routen, sondern konfigurierte IP-Routen und "Verbote" zu den jeweils anderen Outside-Interfaces.
Liebe Grüße,
niLuxx
Ich hätte eine kurze Frage an euch. Durch verschiedene Umstände kann es nun sein, dass sich zwei (sehr sehr) kleine Firmen eine IT-Zentrale teilen werden (es ist nicht optimal, aber den Umständen entsprechend nachvollziehbar).
Geplant sind verschiedene Internetverbindungen für die beiden Firmen, allerdings steht auf Firmenseite nur eine einzige Cisco ASA Firewall (5508-X).
Meine Frage wäre. "Ist es möglich zwei verschiedene PPPoE Einwahlen" mit einer ASA zu realisieren (an zwei outside Interfaces)?
Die Wege der Firmennetze trennen sich dann hier (danach kommt jeweils ein Layer-3-Switch).
Die Netze sollen nicht miteinander kommunizieren. Was allerdings notwendig wäre, ist ein Routing vom Outside-Interface des jeweiligen ISP in Richtung des richtigen Subnetzes:
ISP-1 => 10.0.0.0/48
ISP-2 => 20.0.0.0/48
Sowie ein Routing nach außen zum jeweiligen outside-Interface:
10.0.0.0/48 => ISP-1
20.0.0.0/48 => ISP-2
Ist so etwas möglich? Dann nicht über Default-Routen, sondern konfigurierte IP-Routen und "Verbote" zu den jeweils anderen Outside-Interfaces.
Liebe Grüße,
niLuxx
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 393236
Url: https://administrator.de/contentid/393236
Printed on: April 26, 2024 at 05:04 o'clock
13 Comments
Latest comment
Schau dir mal den Multiple Context Mode an. Deine 5508-X kann zwei Kontexte bedienen, die aber aufgerüstet werden können.
Zitat von @136423:
ISP-1 => 10.0.0.0/48
ISP-2 => 20.0.0.0/48
ISP-1 => 10.0.0.0/48
ISP-2 => 20.0.0.0/48
Als ich das letzte Mal IPv4 gesehen habe gab es da nur /32 und wenn du IP Adressen von Microsoft benutzt könntest du dir viel ungewollte Arbeit machen. Du kannst die physische Firewall in 2 virtuelle teilen, dann hast du auch separate Regelwerke für jede Firma.
/Thomas
1Als ich das letzte Mal IPv4 gesehen habe gab es da nur /32 und
Um Himmels Willen bin ich bekloppt...Man man manMeinte eigentlich
ISP-1 => 10.0.0.0/16
ISP-2 => 20.0.0.0/16
Wisst ihr ob das virtuelle Firewall-Feature Standard ist oder extra Lizenzen benötigt?
Liebe Grüße,
niLuxx
Hallo,
/48 ist mal was neues...
Ein Dual WAN Router wäre vermutlich die sinnvollere Alternative
Brammer
/48 ist mal was neues...
Ein Dual WAN Router wäre vermutlich die sinnvollere Alternative
Brammer
Zitat von @136423:
Meinte eigentlich
ISP-2 => 20.0.0.0/16
Und warum eine Microsoft Adressrange und nicht 10.1.0.0/16?Meinte eigentlich
ISP-2 => 20.0.0.0/16
/Thomas
Hallo,
Braucht eine kleine Firma wirklich ein /16??
Brammer
Braucht eine kleine Firma wirklich ein /16??
Brammer
Die Adressen waren nur ein Beispiel
Wisst ihr ob das virtuelle Firewall-Feature Standard ist oder extra Lizenzen benötigt?
Zwei Kontexte sind in der Security Plus enthalten.Wenn du es einfach und sauber haben willst, würde ich aber LANCOM empfehlen. Über das ARF kannst du einfach beide Firmen trennen, auch mit getrennten Internetzugängen, kannst dennoch, wenn vorhanden, gemeinsame Ressourcen nutzen. Selbst die kleinsten Router und die Geräte mit Telekom-Label würden bei dir ausreichen. (Single Site-Geräte von LANCOM und die älteren Telekomgeräte haben zwei ARF-Kontexte und zwei DSL-Schnittstellen, das neuste Telekomgerät hat ein ARF-Kontext mehr und die Multi-Site-Geräte von LANCOM haben 16 bzw. 64 ARF-Kontexte bei bis zu sieben Internetzugängen. Der 1906VA hat zwei DSL-Modems integriert, nochmal zwei getrennte WAN-Schnittstellen und jeder LAN-Port bis auf einen kann ebensfalls für Internetzugänge genutzt werden)
Hallo tikayevent,
Danke für deine Antwort. Wir werden es uns mit überlegen Ich habe bisher viel Gutes von LANCOM gehört. Es lohnt sich sicher einmal genauer nachzusehen.
Liebe Grüße,
niLuxx
Danke für deine Antwort. Wir werden es uns mit überlegen
Ich habe bisher viel Gutes von LANCOM gehört. Es lohnt sich sicher einmal genauer nachzusehen.Liebe Grüße,
niLuxx
Lancom macht das eigentlich gut.
https://www.lancom-systems.de/docs/LCOS/referenzhandbuch/topics/aa138884 ...
Ich mag die Dingers, auch wenn ich sie völlig unübersichtlich halte. Man hat da schnell was übersehen. Aber im grunde kannst du mit denen so ziemlich alles machen.
Die Telekom bietet die auch immer sehr günstig zum kaufen an. Nur so als Hinweis.
https://www.lancom-systems.de/docs/LCOS/referenzhandbuch/topics/aa138884 ...
Ich mag die Dingers, auch wenn ich sie völlig unübersichtlich halte. Man hat da schnell was übersehen. Aber im grunde kannst du mit denen so ziemlich alles machen.
Die Telekom bietet die auch immer sehr günstig zum kaufen an. Nur so als Hinweis.
Ich habe bisher viel Gutes von
Geht aber auch mit jedem x-beliebigen Cisco Router:Cisco 880, 890 und ISR Router Konfiguration mit xDSL, Kabel oder FTTH Anschluss plus VPN und IP-TV
...falls du/ihr bei Cisco als Zugangsrouter bleiben wollt ?!
Firewall geht ebenfalls:
https://www.heise.de/ct/ausgabe/2016-24-pfSense-als-Load-Balancer-345834 ...
Und die üblichen restlichen Verdächtigen, Draytek 29xx und der Cisco RV325 aus der SoHo Serie usw. usw.
Zitat von @aqui:
Cisco 880, 890 und ISR Router Konfiguration mit xDSL, Kabel oder FTTH Anschluss plus VPN und IP-TV
...falls du/ihr bei Cisco als Zugangsrouter bleiben wollt ?!
Firewall geht ebenfalls:
https://www.heise.de/ct/ausgabe/2016-24-pfSense-als-Load-Balancer-345834 ...
Und die üblichen restlichen Verdächtigen, Draytek 29xx und der Cisco RV325 aus der SoHo Serie usw. usw.
Ich habe bisher viel Gutes von
Geht aber auch mit jedem x-beliebigen Cisco Router:Cisco 880, 890 und ISR Router Konfiguration mit xDSL, Kabel oder FTTH Anschluss plus VPN und IP-TV
...falls du/ihr bei Cisco als Zugangsrouter bleiben wollt ?!
Firewall geht ebenfalls:
https://www.heise.de/ct/ausgabe/2016-24-pfSense-als-Load-Balancer-345834 ...
Und die üblichen restlichen Verdächtigen, Draytek 29xx und der Cisco RV325 aus der SoHo Serie usw. usw.
Geht eigentlich mit jedem etwas prof. Routing/Firewalling Device und das weitaus besser als mit Lancom.
Sehr richtig !!
