Здравствуйте, возникла такая проблема.
Есть 2 pix 515 с failover. каждый одним интерфейсом смотрит в Интернет, и двумя во внутренюю сеть в два разных свитча.
Во внутренней сети каждый сервер включается в оба свитча (port teaming)
Поднят VPN туннель в другой офис.
Необходимо, чтобы при выходе из строя любого свитча, выход с серверов в Интернет сохранялся.
nameif ethernet0 outside security0
nameif ethernet1 dmz1 security50
nameif ethernet2 dmz2 security50ip address outside X.X.X.X 255.255.255.248
ip address dmz1 192.168.100.1 255.255.255.0
Поскольку на два интерфейса дать адрес из одной сети нельзя
ip address dmz2 192.168.101.1 255.255.255.0
Соответственно на поту свитча, в который включен dmz2
ip address 192.168.101.2 255.255.255.0
и маршруты на удаленный офис
ip route 192.168.0.0 255.255.0.0 192.168.100.1
ip route 192.168.0.0 255.255.0.0 192.168.101.1 2
на пиксе
sh route
dmz1 192.168.100.0 255.255.255.0 192.168.100.1 1 CONNECT static
dmz2 192.168.101.0 255.255.255.0 192.168.100.1 1 CONNECT static
Создать статический маршрут на 192.168.100.0 через 192.168.101.2 не дает - говорит маршрут уже существует.
Если на свитчах и на пиксе поднимаем RIP -все равно не работает, при пропадании линка на dmz1 маршрут
dmz1 192.168.100.0 255.255.255.0 192.168.100.1 1 остается, хоть интерфейс и в дауне, соответственно динамический маршрут не появляется :(