我有两个可访问互联网的 /24 子网,假设为 11.22.33.0/24 和 44.55.66.0/24,我想使用 PIX 506E 后面的私有 10.0.0.0/24 子网将其传递给服务器
例如,对 11.22.33.99 和 44.55.66.99 的请求要么都发送到 10.0.0.99,要么一个发送到 10.0.0.99,另一个发送到 10.0.0.98(不需要在内部使用所有 254 个 IP,如果发生变化,将来可以重新配置为 10.0.0.0/23)。
11.22.33.99/24 子网已配置并正在运行,但我无法让 PIX 对 44.55.66.99/24 地址执行任何操作。
配置如下。
接口
- 名称 / IP / Vlan / 硬件
- 10.0.0.4/24 本机 eth1 内部
- 11.22.33.4/24 外部本机 eth0
- 外部2 44.55.66.4/24 vlan1 eth0
翻译规则
- 10.0.0.99/32 内部 > 静态 11.22.33.99/32
- 10.0.0.99/32 内部 > 静态 44.55.66.99/32
静态路由
- 外部 0.0.0.0/0 11.22.33.1
访问规则允许 44.55.66.0/24 上的所有 ip 和 icmp 流量(稍后将锁定这些流量)
关于我应该去哪里寻找,或者我需要提供更多信息,有什么建议吗?谢谢。
答案1
如果您尝试将 11.xxx 和 44.xxx IP 指向同一个内部 IP,PIX 根本无法确定您想要做什么。它必须选择一个 IP 或另一个 IP 来响应。如果您正在执行原始
static映射而不是端口级别操作,那么请将一个从外部指向一个从内部。如果您使用的是 VLAN1,那么您的交换机最好能够将其剥离并将数据包送到它们需要去的地方。如果那个地方是第二个路由器,那么它可能永远都行不通。您只能有一个默认路由。您永远无法让来自网络的随机流量返回到它进入的接口,它总是从默认接口出去。您必须升级到 BGP 之类的东西来解决这个问题。
或者,11.22.33.1 处的路由器是否也路由 44.55.66/24?如果是,您可能不需要 VLAN1 接口和 outside2 接口。PIX 只会将数据包路由到那里。只要该路由器知道将该子网发送到 PIX,这些
static线路就足以让 PIX 应答和通过。
如果是情况 3.,您应该能够删除 outside2 接口和重叠静态,这样它就可以正常工作。