我有一个带有 5 个静态 IP 地址的 pix 501。我的 ISP 刚刚又给了我 5 个。我正在尝试弄清楚如何添加新块,然后如何将其中至少一个地址 nat/open 到内部机器。
到目前为止,我将新接口命名为“intf2”,IP 范围是 71.11.11.58 - 62(网关应该是 71.11.11.57)
imgsvr 是我想要 nat 到其中一个新 ip 地址 (71.11.11.59) 的机器。mail (.123) 是映射到当前现有的 5 个 ip 块 (96.11.11.121 gate / 96.11.11.122-127) 并且运行良好的机器的示例。
Building configuration...
: Saved
:
PIX Version 6.3(4)
interface ethernet0 auto
interface ethernet0 vlan1 logical
interface ethernet1 auto
nameif ethernet0 outside security0
nameif ethernet1 inside security100
nameif vlan1 intf2 security1
enable password xxxxxxxxx encrypted
passwd xxxxxxxxx encrypted
hostname xxxxxxxPIX
domain-name xxxxxxxxxxx
no fixup protocol dns
fixup protocol ftp 21
fixup protocol h323 h225 1720
fixup protocol h323 ras 1718-1719
fixup protocol http 80
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol sip 5060
fixup protocol sip udp 5060
fixup protocol skinny 2000
no fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol tftp 69
names
...snip...
name 192.168.10.13 mail
name 192.168.10.29 imgsvr
object-group network vpn1
network-object mail 255.255.255.255
access-list outside_access_in permit tcp any host 96.11.11.124 eq www
access-list outside_access_in permit tcp any host 96.11.11.124 eq https
access-list outside_access_in permit tcp any host 96.11.11.124 eq 3389
access-list outside_access_in permit tcp any host 96.11.11.123 eq https
access-list outside_access_in permit tcp any host 96.11.11.123 eq www
access-list outside_access_in permit tcp any host 96.11.11.125 eq smtp
access-list outside_access_in permit tcp any host 96.11.11.125 eq https
access-list outside_access_in permit tcp any host 96.11.11.125 eq 10443
access-list outside_access_in permit tcp any host 96.11.11.126 eq smtp
access-list outside_access_in permit tcp any host 96.11.11.126 eq https
access-list outside_access_in permit tcp any host 96.11.11.126 eq 10443
access-list outside_access_in deny ip any any
access-list inside_nat0_outbound permit ip 192.168.0.0 255.255.0.0 IPPool2 255.255.255.0
access-list inside_nat0_outbound permit ip 172.17.0.0 255.255.0.0 IPPool2 255.255.255.0
access-list inside_nat0_outbound permit ip 172.16.0.0 255.255.0.0 IPPool2 255.255.255.0
...snip...
access-list inside_access_in deny tcp any any eq smtp
access-list inside_access_in permit ip any any
pager lines 24
logging on
logging buffered notifications
mtu outside 1500
mtu inside 1500
ip address outside 96.11.11.122 255.255.255.248
ip address inside 192.168.10.15 255.255.255.0
ip address intf2 71.11.11.58 255.255.255.248
ip audit info action alarm
ip audit attack action alarm
pdm location exchange 255.255.255.255 inside
pdm location mail 255.255.255.255 inside
pdm location IPPool2 255.255.255.0 outside
pdm location 96.11.11.122 255.255.255.255 inside
pdm location 192.168.10.1 255.255.255.255 inside
pdm location 192.168.10.6 255.255.255.255 inside
pdm location mail-gate1 255.255.255.255 inside
pdm location mail-gate2 255.255.255.255 inside
pdm location imgsvr 255.255.255.255 inside
pdm location 71.11.11.59 255.255.255.255 intf2
pdm logging informational 100
pdm history enable
arp timeout 14400
global (outside) 1 interface
global (outside) 2 96.11.11.123
global (intf2) 3 interface
global (intf2) 4 71.11.11.59
nat (inside) 0 access-list inside_nat0_outbound
nat (inside) 2 mail 255.255.255.255 0 0
nat (inside) 1 0.0.0.0 0.0.0.0 0 0
static (inside,outside) tcp 96.11.11.123 smtp mail smtp netmask 255.255.255.255 0 0
static (inside,outside) tcp 96.11.11.123 https mail https netmask 255.255.255.255 0 0
static (inside,outside) tcp 96.11.11.123 www mail www netmask 255.255.255.255 0 0
static (inside,outside) 96.11.11.124 ts netmask 255.255.255.255 0 0
static (inside,outside) 96.11.11.126 mail-gate2 netmask 255.255.255.255 0 0
static (inside,outside) 96.11.11.125 mail-gate1 netmask 255.255.255.255 0 0
access-group outside_access_in in interface outside
access-group inside_access_in in interface inside
route outside 0.0.0.0 0.0.0.0 96.11.11.121 1
route intf2 0.0.0.0 0.0.0.0 71.11.11.57 2
timeout xlate 0:05:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00
timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
floodguard enable
...snip...
: end
[OK]
谢谢!
更新:我与网络顾问讨论了这个问题,他说除非您有额外的物理以太网接口,否则您无法添加具有不同默认网关的第二个 IP 地址范围。pix 只有 2 个(外部和内部),所以他说不可能添加第二个范围!这是真的吗?
他还说,一种可能性是让 ISP 将新的 IP 地址块路由到当前网关地址。这有道理吗?
答案1
这可以通过 Cisco PIX/ASA 上的代理 arping 实现。
我自己没有这样做过,但我相信这很容易、很简单。参见此主题和此链接。
来自外部链接:
让我们看看我们可以使用什么技巧来克服这个愚蠢的限制:我们将使用 Proxy-ARP 功能来响应同一以太网接口上的另一个 IP 请求,而无需实际启动它。在我的示例中,我将使用 eth0/1 和“内部”vlan,vlan1 具有配置的现有“主”ip 范围:192.168.0.1/24;我将添加另一个 ip 192.168.1.1,以便来自此范围的主机也将在 ASA 后面工作: 首先找出您将要使用的以太网接口的 MAC 地址。 sh 接口 Ethernet0/1 这将显示网络接口的 MAC 地址。 在内部 VLAN 上强制使用此 arp 地址: 接口 Vlan1 mac地址 0019.0726.xxxx nameif 内部 现在让我们为想要用作辅助 IP 的 IP 定义一个静态 arp 条目,使用与上面相同的 mac 地址,并在其上启用代理 ARP: arp inside 192.168.1.1 0019.0726.xxx 别名 您可以使用 show arp 命令验证它是否正常工作,该命令应该返回 ip 和 mac 地址,如下所示: 锋利的 192.168.1.1 0019.0726.xxx 别名内 ... 此时,本地接口上的任何系统都可以使用该 IP 作为其默认网关,并且它将正常工作。我们只需确保返回数据包返回到源,这意味着我们必须在内部接口上为该网络添加静态路由(指向接口的主 IP,在我的情况下为 192.168.0.1): 路由内部 192.168.1.0 255.255.255.0 192.168.0.1 1 我们还需要确保允许相同接口主机和相同级别的安全接口之间进行流量: 相同安全流量许可接口 相同安全流量允许接口内 并且您可能希望确保访问列表允许来自/到新添加的网络的流量。 就是这样…
更新
我找到了一个旧的 Cisco ASA 配置,其中有 1.2。198.224/28 和 1.2.199。224/28,结果发现除了访问列表和 nat 规则之外,第二个 (.199.224/28) 网络没有任何配置。我很乐意屏蔽配置,但你可能在这里发布的内容太长了。