我有带内部 IP 的 pix 501 cisco 防火墙。192.168.10.1.
我已将 d-link 路由器 (dir-655) 连接到 pix 501。d-link 路由器有内部ip 192.168.0.1
图片会是这样的:
|pix 501| has 192.168.10.1 ip
|DIR-655| has 192.168.0.1 ip
1. |cable modem|----|pix 501|-------|DIR-655|-----PC
2. PC--------|pix 501|---------|DIR-655|
|
|
|cable modem|
当我在分配了 IP 的无线网络(dir-655)上时,192.168.0.x我可以跨子网连接到我的防火墙192.168.10.1.(图 1)
问题是,如果我在192.168.10.x网络上,我无法连接到192.168.0.x网络上的任何东西。(图 2)
我尝试输入这样的静态路由:
`route inside 192.168.0.0 255.255.255.0 192.168.10.1 1`
我还尝试将静态 IP 分配给 DIR-655 上的 wan 接口,192.168.10.30然后尝试这样做:
route inside 192.168.0.0 255.255.255.0 192.168.10.30 1
但仍然无法连接到 192.168.0.1 或该子网上的任何设备。
有没有办法设置静态路由?在 PIX 501 和 DIR-655 之间添加单独的路由器是否有帮助?
我认为像这样的静态路由应该可以解决这个问题,但事实并非如此。
这是我的路线配置和 nat:
(config)# sh route
outside 0.0.0.0 0.0.0.0 (outside_IP) 1 DHCP static
outside (outside_IP) 255.255.248.0 (outside_IP) 1 CONNECT static
inside 192.168.0.0 255.255.255.0 192.168.10.1 1 OTHER static
inside 192.168.10.0 255.255.255.0 192.168.10.1 1 CONNECT static
或(192.168.0.0 255.255.255.0 192.168.10.30 1 内的路由)
(config)# sh nat
nat (inside) 1 192.168.1.0 255.255.255.0 0 0
nat (inside) 1 192.168.10.0 255.255.255.0 0 0
nat (inside) 1 0.0.0.0 0.0.0.0 0 0
我最终将 DIR-655 变成了一个接入点(关闭 DHCP 并将 PIX 局域网接口的电缆插入 DIR-655 上的一个局域网接口,并将 WAN 端口留空),只要 DIR-655 现在位于同一子网中,我就可以访问每台机器。然而问题是,为什么我不能简单地在两者之间路由?这两者之间的路由器有帮助吗?其中一个原因是,PIX 501 只有 10 个许可证,所以现在我几乎使用了所有许可证。(我有几台电脑、iphone、ps3、打印服务器等。)
我将非常感激您的帮助!谢谢。
答案1
添加路由器不会有帮助。我会考虑在您的 pix 上配置区域/信任值。在一个方向上工作而不是在另一个方向上工作告诉我一个方向比另一个方向更受信任,因此 ESTABLISHED 返回流量到达那里。我不认为这是路由问题,而是信任问题。在较新的 cisco ASA 上,它们会通过所有端口传递流量,直到您定义组,但在较旧的 501 上,我似乎记得故障关闭而不是故障打开。
另一种可能性是集成交换机转发到 wifi 时出现一些愚蠢的情况 - 但这将是固件,但不太可能。
编辑:nameif 是您应该查看的命令我认为:
http://www.cisco.com/en/US/docs/security/pix/pix62/command/reference/mr.html#wpmkr1026055
我会考虑将不同的 IP 范围放在具有相同安全值的不同区域。