我希望有人能解释一下我的情况,因为我对 PIX 配置还不太熟悉。
我将为我的部门安装一个新的网络,并对其进行配置。我手上有一台 Cisco PIX 515(不是 E),一台 Cisco 2948 交换机(如果需要,我可以启动一台 2621XM 路由器,但这是我的私人设备,不属于我的部门)。
我将获得的网络如下:
10.12.33.0/26 ISP 路由器和我的网络之间的链路网络将是 10.12.32.0/29,其中 GW 为 .1,HSRP 路由器为 .2 和 .3
ISP 要求我不要对我这边的地址进行 NAT,因为他们会将其设置为将 10.12.33.2 设置为一对一 NAT 到公共 IP。其余 IP 将设置为与另一个公共 IP 进行多对一 NAT。
10.12.33.2 应该是我放置在 DMZ 上的服务器,其余 IP 将用于我的客户端和 AD 服务器(当前还在另一个 ISP 的旧网络配置中充当 DHCP 服务器)。
现在,问题是,我该如何最好地配置它?我的意思是,我的想法错了吗?我应该先将 PIX 从 ISP 出口放出来,然后再放到连接我的客户端的交换机上。但是由于 ISP 路由器位于不同的网络上,防火墙将如何将数据包转发到另一个网络,它是防火墙,而不是路由器。
我之前实际上从未配置过 pix,幸运的是,这更像是一个实验室网络,而不是生产网络,因此如果出现问题,虽然很烦人,但也不是世界末日。
我并不是向任何人寻求完整的配置,只是要求提供一些指导,或者可能提供一些可以给我提示的链接。
非常感谢!
答案1
如果我没看错的话,您的 DMZ 和 LAN 网络的 IP 地址为 10.12.33.0/26,而您与外界的联系地址为 10.12.32.0/29。您需要将分配的 IP 划分为两个 /27 网络,一个用于 DMZ,一个用于 LAN。
DMZ = 10.12.33.0/27
LAN = 10.12.33.32/27
EXT = 10.12.32.0/29
您需要在 PIX 上创建三个安全区域并设置安全级别。向每个区域添加 vlan 接口并为其分配 IP 地址...为您的互联网访问设置静态路由,然后设置 NAT 和访问规则。基本命令是这里:
至于如何连接所有东西,ISP 连接进入 PIX 的外部接口。将内部接口连接到交换机上的中继端口,并允许您在交换机上配置的 VLAN。然后将访问端口划分到适当的 VLAN。这是基本思路。希望这对您有所帮助。