У меня есть брандмауэр Juniper SSG 5 в центре обработки данных. Первому интерфейсу (eth0 / 0) назначен статический IP-адрес, и три других адреса настроены для VIP Nat. У меня есть статический маршрут с самым низким приоритетом для 0.0.0.0/0 к шлюзу хостинговой компании.
Теперь мне нужно настроить второй блок IP. У меня есть IP-адреса, назначенные второму интерфейсу (eth0 / 1), который находится в той же зоне безопасности и виртуальном маршрутизаторе, что и первый. Однако с включенным этим интерфейсом я (а) не могу инициировать исходящие сеансы (просматривать Интернет, пинговать, искать DNS и т. Д.), Хотя я могу получить доступ к серверам за брандмауэром снаружи и (б) не могу пинговать IP-адрес управления брандмауэра / шлюза.
Я пробовал все, что мог придумать, но думаю, это немного выше моей головы. Может ли кто-нибудь указать мне правильное направление?
Интерфейсы: ethernet0 / 0 xxx.xxx.242.4 / 29 Untrust Layer3
ethernet0 / 1 xxx.xxx.152.0 / 28 Уровень недоверия 3
Маршруты:
Поскольку оба IP-адреса поступают от одного и того же интернет-провайдера, вы можете просто применить адреса из нового блока к MIP на существующем ненадежном интерфейсе. Вам не нужно определять второй физический интерфейс.
Это работает, потому что Netscreen также является маршрутизатором.
Итак, когда мир хочет отправить пакеты в новый блок, ISP будет ARP для IP-адреса в новом блоке, и ваш Netscreen ответит.
Когда Netscreen необходимо отправить пакеты обратно в остальной мир с IP-адреса в новом блоке, он будет использовать маршрутизатор по умолчанию из существующего блока; Интернет-провайдер должен принимать этот трафик.
Это не интуитивно понятно, но работает.
Вы можете попробовать создать интерфейс обратной связи и связать его с новым блоком адресов, а затем связать их с основным интерфейсом Ethernet. Вам нужно будет поддерживать свои MIP в интерфейсе обратной связи. Я сам использую эту установку, и она работает достаточно хорошо.
