我在数据中心安装了 Juniper SSG 5 防火墙。第一个接口 (eth0/0) 已分配静态 IP 地址,并为 VIP Nat 配置了其他三个地址。我为托管公司的网关配置了一条优先级最低的静态路由 0.0.0.0/0。
现在我需要配置第二个 IP 块。我已将 IP 分配给第二个接口 (eth0/1),该接口与第一个接口位于同一安全区域和虚拟路由器中。但是,启用此接口后,我 (a) 无法发起出站会话(浏览互联网、ping、DNS 查找等),即使我可以从外部正常访问防火墙后面的服务器,并且 (b) 无法 ping 防火墙/网关的管理 IP。
我已经尝试了所有我能想到的方法,但我觉得这有点超出我的理解范围。有人能给我指明正确的方向吗?
接口:ethernet0/0 xxx.xxx.242.4/29 不信任第 3 层
ethernet0/1 xxx.xxx.152.0/28 不信任第 3 层
路线:
答案1
由于这两个 IP 来自同一个 ISP,因此您只需将新地址块中的地址应用于现有不信任接口上的 MIP 即可。您不必定义第二个物理接口。
这是因为 Netscreen 也是一个路由器。
因此,当世界想要向新块发送数据包时,ISP 将对新块上的 IP 进行 ARP,然后您的 Netscreen 将做出响应。
当 Netscreen 需要从新块中的 IP 将数据包发送回世界其他地方时,它将使用现有块中的默认路由器;ISP 应该接受此流量。
这并不直观,但它确实有效。
答案2
您可以尝试创建一个环回接口并将其与新地址块关联,然后将它们与主以太网接口关联。您需要在环回接口上维护您的 MIP。我自己正在使用这个设置,它运行得很好。