我们目前在只有两个可用 IP 地址的范围内安装了 Cisco ASA。Cisco 有217.67.255.31,BT NTE 盒(用于租用线路)有217.67.255.32。(on /32)
现在我们要将这条线路拆分到两个防火墙上,即现有的 ASA 和另一个 ASA 5510,这样两个防火墙都可以访问该线路。这将通过交换机完成 - 即 NTE Box --> 交换机 --> 链接到每个防火墙。ISP 已发送两个额外的 IP,但位于新防火墙的完全独立的子网中。
217.67.252.182
217.67.252.183
现在 ISP 显然已将上述范围路由(/31)到217.67.255.31当前防火墙上的接口。
但是在新的防火墙上,我们将上述 IP 之一分配给其 WAN 接口,我们将什么指定为该接口的默认网关?NTE 盒的 IP?这是如何工作的?
答案1
您只能将 217.67.255.31 地址放在其中一个 ASA 上。
您需要使用 HSRP/VRRP 设置故障转移,以便其中只有一个一次获取 IP 地址 - 该 ASA 将成为您内部网络的网关(其中一部分是 217.67.252.182 和 217.67.252.183)。
听起来就像你想与我们在话语:
Assigned subnet: 64.71.148.0/29
upstream gateway: 64.71.148.1
firewall1: 64.71.148.2
firewall2: 64.71.148.3
HA IP: 64.71.148.4
任何进一步的子网分配都由 ISP 路由至64.71.148.4。
答案2
您拥有的接口是 /30,仅此而已。您不能在该电路上拥有额外的接口。您可以拥有(他们提供给您的)可在该电路上使用的额外 IP(不是子 IF,而是可路由 IP)。
如果您想要一个具有 2 个不同 ASA 的简单设置,您的 ISP 将需要将实际电路扩展为 /29 或更大,以允许您这边有多个接口。