Назад | Перейти на главную страницу

Использование двух внешних подсетей Интернета - идеи маршрутизации или физического подключения?

Я ищу несколько идей о том, как я могу использовать вторую подсеть с 5 IP-адресами в Интернете, которую я могу получить от моего провайдера.

В настоящее время у меня есть кабельный модем isp с 5 портами Ethernet. Он не предоставляет (и, вероятно, не может) обеспечивать брандмауэр или фильтрацию.

В одном из портов у меня есть Cisco pix 503, обеспечивающий межсетевой экран, фильтрацию, vpn. В пиксе всего два порта - WAN и LAN. Pix в настоящее время настроен с использованием первых 5 блоков IP-адресов и работает нормально. Pix имеет записи для статического сопоставления nat для входящего трафика на серверы в локальной сети.

Вне порта LAN пикселя у меня есть 3com Super Stack 3. Это шлюз по умолчанию для всех машин в локальной сети. В стеке есть запись для маршрутизации трафика на IP-адрес pix и, следовательно, в Интернет.

Наконец, я хочу как-то настроить несколько новых интернет-серверов во втором блоке IP-адресов из 5. У него другой шлюз, чем у первого блока, и совершенно другой диапазон номеров, и я исследовал, что, похоже, нет способа добавить этот блок в пикс. Мне нужно было бы заменить pix на устройство ASA с несколькими физическими подключениями.

Я ищу мозгового штурма по альтернативным идеям:

  1. Я думал, что одной из возможностей было бы запустить вторую линию от кабельного модема к другому устройству брандмауэра - у меня есть несколько других устройств нижнего уровня, которые, вероятно, были бы адекватны для простой настройки брандмауэра с сопоставлением 5 IP-адресов / 5 серверов. Это будет отдельная мини-локальная сеть от суперстека 3.

Однако мне также необходимо иметь доступ к этим серверам из локальной сети. Я не уверен, как соединить эти две сети вместе, возможно, с помощью статической маршрутизации?

  1. Интересно, можно ли перейти от кабельного модема ко второму устройству межсетевого экрана в супер стек 3? Мне не нужны исходящие запросы для выхода из этого 2-го брандмауэра, он действительно только для входящих. Тем не менее, было бы неплохо, если бы, возможно, существовал способ создания записей в суперстеке для маршрутизации трафика для этих 5 серверов через 2-й брандмауэр.

Просто ищу некоторые концепции (помимо замены пикселя), которые, по вашему мнению, подойдут. Спасибо!

Похоже, вы сможете настроить аранжировку:

  • Интернет на кабельный модем
  • Кабельный модем от PIX к Super Stack до LAN (текущая конфигурация)
  • Кабельный модем параллельно с дополнительным устройством межсетевого экрана (новая конфигурация)
  • Дополнительный брандмауэр для новых серверов (новая конфигурация)
  • Дополнительный межсетевой экран параллельно с Super Stack в LAN (новая конфигурация)

PIX и дополнительное устройство межсетевого экрана будут управлять своей собственной локальной сетью, а суперстек будет маршрутизировать трафик (на основе вашего описания суперстека, являющегося устройством уровня 3) в каждую из соответствующих конфигураций локальной сети из основной локальной сети.