У меня есть две подсети, доступные в Интернете / 24, скажем, 11.22.33.0/24 и 44.55.66.0/24, которые я хочу передать на серверы, используя частную подсеть 10.0.0.0/24 за PIX 506E
например запросы к 11.22.33.99 и 44.55.66.99 либо оба отправляются на 10.0.0.99, либо один отправляется на 10.0.0.99, а другой на 10.0.0.98 (не нужно использовать все 254 IP-адреса внутри, можно перенастроить на 10.0.0.0 / 23 в будущем, если это изменится).
Подсеть 11.22.33.99/24 уже настроена и работает, но я не могу заставить PIX что-либо делать с адресами 44.55.66.99/24.
Конфигурация следующая.
ИНТЕРФЕЙСЫ
ПРАВИЛА ПЕРЕВОДА
СТАТИЧЕСКИЙ МАРШРУТ
Правила доступа разрешают весь трафик ip и icmp на 44.55.66.0/24 (заблокируют их позже)
Есть ли предложения о том, где мне следует искать, или дополнительную информацию, которую мне нужно предоставить? Спасибо.
У PIX нет надежды понять, что вы хотите делать, если вы попытаетесь указать IP 11.x.x.x и 44.x.x.x на один и тот же внутренний IP-адрес. Он должен выбрать один или другой IP-адрес для ответа. Если вы делаете сырые static отображение, а не на уровне порта, тогда придерживайтесь одного внешнего и другого внутреннего.
Если вы используете VLAN1, то вашему коммутатору лучше отдать это и доставить пакеты туда, куда им нужно. И если это место - второй роутер, то он, вероятно, никогда не сработает. У вас может быть только один маршрут по умолчанию. Вы никогда не сможете получить случайный трафик из Интернета, чтобы вернуться к интерфейсу, через который он пришел, он всегда выходит за рамки по умолчанию. Вы должны перейти на такие вещи, как BGP, чтобы победить это.
Кроме того, маршрутизатор в 11.22.33.1 также маршрутизирует 44.55.66 / 24? В таком случае вам, вероятно, не нужны интерфейс VLAN1 и интерфейс external2. PIX просто направит туда пакеты. Пока этот маршрутизатор знает, что нужно отправить эту подсеть в PIX, static строк будет достаточно, чтобы PIX ответил и прошел.
В случае 3. вы сможете удалить внешний интерфейс2 и перекрывающуюся статику, и все должно работать.