我正在寻找一些关于如何利用我的 ISP 提供的第二个 5 个互联网 IP 地址子网的想法。
目前我有一个带有 5 个以太网端口的 isp 电缆调制解调器。它不提供(并且可能无法提供)任何防火墙或过滤功能。
在其中一个端口上,我有一个 cisco pix 503,提供防火墙、过滤和 vpn。该 pix 只有两个端口 - WAN 和 LAN。该 pix 当前使用前 5 个 ip 地址块进行设置,并且运行良好。该 pix 具有用于将传入流量映射到 LAN 上的服务器的静态 nat 映射条目。
在 pix 的 LAN 端口外,我有一个 3com Super Stack 3。这是局域网上所有机器的默认网关。堆栈中有一个条目,用于将流量路由到 pix ip 地址,从而路由到互联网。
最后,我想以某种方式在第二个 5 个 IP 地址块上设置一些新的互联网服务器。它的网关与第一个块不同,数字范围也完全不同,而且我研究过似乎没有办法将此块添加到 pix 中。我需要用具有多个物理连接的 ASA 设备替换 pix。
我正在寻找一些关于替代想法的集思广益:
- 我认为一种可能性是将第二条线路从电缆调制解调器连接到不同的防火墙设备 - 我有一些其他低端设备,可能足以用于简单的 5 ip 地址/5 服务器 nat 映射防火墙设置。这将是与超级堆栈 3 分开的迷你 LAN。
但是,我还需要能够从 LAN 内部访问这些服务器。我不确定如何将这两个网络连接在一起,可能使用静态路由吗?
- 我想知道是否可以从电缆调制解调器到超级堆栈 3 中的第二个防火墙设备?我不需要任何传出请求传出第二个防火墙,它实际上只用于传入。话虽如此,如果有办法在超级堆栈中创建条目以将这 5 个服务器的流量路由出第二个防火墙,那就太好了。
只是在寻找一些你认为可行的概念(除了替换图片)。谢谢!
答案1
听起来你应该能够配置以下安排:
- 互联网至电缆调制解调器
- 电缆调制解调器到 PIX 到超级堆栈到 LAN(当前配置)
- 与附加防火墙设备并行的电缆调制解调器(新配置)
- 新服务器附加防火墙(新配置)
- 与 Super Stack 并行的附加防火墙到 LAN(新配置)
PIX 和附加防火墙设备将各自管理自己的 LAN,而超级堆栈将把流量(基于您对超级堆栈是第 3 层设备的描述)从主 LAN 路由到各个相应的 LAN 配置。