136423
19.11.2018
2558
13
0
Dediziertes ISP -Routing
Liebe Community,
Ich hätte eine kurze Frage an euch. Durch verschiedene Umstände kann es nun sein, dass sich zwei (sehr sehr) kleine Firmen eine IT-Zentrale teilen werden (es ist nicht optimal, aber den Umständen entsprechend nachvollziehbar).
Geplant sind verschiedene Internetverbindungen für die beiden Firmen, allerdings steht auf Firmenseite nur eine einzige Cisco ASA Firewall (5508-X).
Meine Frage wäre. "Ist es möglich zwei verschiedene PPPoE Einwahlen" mit einer ASA zu realisieren (an zwei outside Interfaces)?
Die Wege der Firmennetze trennen sich dann hier (danach kommt jeweils ein Layer-3-Switch).
Die Netze sollen nicht miteinander kommunizieren. Was allerdings notwendig wäre, ist ein Routing vom Outside-Interface des jeweiligen ISP in Richtung des richtigen Subnetzes:
ISP-1 => 10.0.0.0/48
ISP-2 => 20.0.0.0/48
Sowie ein Routing nach außen zum jeweiligen outside-Interface:
10.0.0.0/48 => ISP-1
20.0.0.0/48 => ISP-2
Ist so etwas möglich? Dann nicht über Default-Routen, sondern konfigurierte IP-Routen und "Verbote" zu den jeweils anderen Outside-Interfaces.
Liebe Grüße,
niLuxx
Ich hätte eine kurze Frage an euch. Durch verschiedene Umstände kann es nun sein, dass sich zwei (sehr sehr) kleine Firmen eine IT-Zentrale teilen werden (es ist nicht optimal, aber den Umständen entsprechend nachvollziehbar).
Geplant sind verschiedene Internetverbindungen für die beiden Firmen, allerdings steht auf Firmenseite nur eine einzige Cisco ASA Firewall (5508-X).
Meine Frage wäre. "Ist es möglich zwei verschiedene PPPoE Einwahlen" mit einer ASA zu realisieren (an zwei outside Interfaces)?
Die Wege der Firmennetze trennen sich dann hier (danach kommt jeweils ein Layer-3-Switch).
Die Netze sollen nicht miteinander kommunizieren. Was allerdings notwendig wäre, ist ein Routing vom Outside-Interface des jeweiligen ISP in Richtung des richtigen Subnetzes:
ISP-1 => 10.0.0.0/48
ISP-2 => 20.0.0.0/48
Sowie ein Routing nach außen zum jeweiligen outside-Interface:
10.0.0.0/48 => ISP-1
20.0.0.0/48 => ISP-2
Ist so etwas möglich? Dann nicht über Default-Routen, sondern konfigurierte IP-Routen und "Verbote" zu den jeweils anderen Outside-Interfaces.
Liebe Grüße,
niLuxx
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-Key: 393236
Url: https://administrator.de/contentid/393236
Ausgedruckt am: 19.03.2024 um 08:03 Uhr
13 Kommentare
Neuester Kommentar
Zitat von @136423:
ISP-1 => 10.0.0.0/48
ISP-2 => 20.0.0.0/48
ISP-1 => 10.0.0.0/48
ISP-2 => 20.0.0.0/48
Als ich das letzte Mal IPv4 gesehen habe gab es da nur /32 und wenn du IP Adressen von Microsoft benutzt könntest du dir viel ungewollte Arbeit machen. Du kannst die physische Firewall in 2 virtuelle teilen, dann hast du auch separate Regelwerke für jede Firma.
/Thomas
Wisst ihr ob das virtuelle Firewall-Feature Standard ist oder extra Lizenzen benötigt?
Zwei Kontexte sind in der Security Plus enthalten.Wenn du es einfach und sauber haben willst, würde ich aber LANCOM empfehlen. Über das ARF kannst du einfach beide Firmen trennen, auch mit getrennten Internetzugängen, kannst dennoch, wenn vorhanden, gemeinsame Ressourcen nutzen. Selbst die kleinsten Router und die Geräte mit Telekom-Label würden bei dir ausreichen. (Single Site-Geräte von LANCOM und die älteren Telekomgeräte haben zwei ARF-Kontexte und zwei DSL-Schnittstellen, das neuste Telekomgerät hat ein ARF-Kontext mehr und die Multi-Site-Geräte von LANCOM haben 16 bzw. 64 ARF-Kontexte bei bis zu sieben Internetzugängen. Der 1906VA hat zwei DSL-Modems integriert, nochmal zwei getrennte WAN-Schnittstellen und jeder LAN-Port bis auf einen kann ebensfalls für Internetzugänge genutzt werden)
Lancom macht das eigentlich gut.
https://www.lancom-systems.de/docs/LCOS/referenzhandbuch/topics/aa138884 ...
Ich mag die Dingers, auch wenn ich sie völlig unübersichtlich halte. Man hat da schnell was übersehen. Aber im grunde kannst du mit denen so ziemlich alles machen.
Die Telekom bietet die auch immer sehr günstig zum kaufen an. Nur so als Hinweis.
https://www.lancom-systems.de/docs/LCOS/referenzhandbuch/topics/aa138884 ...
Ich mag die Dingers, auch wenn ich sie völlig unübersichtlich halte. Man hat da schnell was übersehen. Aber im grunde kannst du mit denen so ziemlich alles machen.
Die Telekom bietet die auch immer sehr günstig zum kaufen an. Nur so als Hinweis.
Ich habe bisher viel Gutes von
Geht aber auch mit jedem x-beliebigen Cisco Router:Cisco 880, 890 und ISR Router Konfiguration mit xDSL, Kabel oder FTTH Anschluss plus VPN und IP-TV
...falls du/ihr bei Cisco als Zugangsrouter bleiben wollt ?!
Firewall geht ebenfalls:
https://www.heise.de/ct/ausgabe/2016-24-pfSense-als-Load-Balancer-345834 ...
Und die üblichen restlichen Verdächtigen, Draytek 29xx und der Cisco RV325 aus der SoHo Serie usw. usw.
Zitat von @aqui:
Cisco 880, 890 und ISR Router Konfiguration mit xDSL, Kabel oder FTTH Anschluss plus VPN und IP-TV
...falls du/ihr bei Cisco als Zugangsrouter bleiben wollt ?!
Firewall geht ebenfalls:
https://www.heise.de/ct/ausgabe/2016-24-pfSense-als-Load-Balancer-345834 ...
Und die üblichen restlichen Verdächtigen, Draytek 29xx und der Cisco RV325 aus der SoHo Serie usw. usw.
Ich habe bisher viel Gutes von
Geht aber auch mit jedem x-beliebigen Cisco Router:Cisco 880, 890 und ISR Router Konfiguration mit xDSL, Kabel oder FTTH Anschluss plus VPN und IP-TV
...falls du/ihr bei Cisco als Zugangsrouter bleiben wollt ?!
Firewall geht ebenfalls:
https://www.heise.de/ct/ausgabe/2016-24-pfSense-als-Load-Balancer-345834 ...
Und die üblichen restlichen Verdächtigen, Draytek 29xx und der Cisco RV325 aus der SoHo Serie usw. usw.
Geht eigentlich mit jedem etwas prof. Routing/Firewalling Device und das weitaus besser als mit Lancom.