Использование двух внешних интернет-подсетей - идеи маршрутизации или физического соединения?

Question

Использование двух внешних интернет-подсетей - идеи маршрутизации или физического соединения?

Я ищу некоторые идеи о том, как я мог бы использовать вторую подсеть с 5 IP-адресами в Интернете, которую я получил от моего провайдера.

В настоящее время у меня есть кабельный модем ISP, который имеет 5 портов Ethernet. Он не (и, вероятно, не может) предоставлять какой-либо брандмауэр или фильтрацию.

В один из портов у меня есть Cisco 503 пикселей, обеспечивающий межсетевой экран, фильтрацию, VPN. Пикс имеет только два порта - WAN и LAN. Пикс в настоящее время настроен с использованием 1-го блока 5-го IP-адреса и работает нормально. Пикс имеет записи для статического нат-маппинга для входящего трафика на серверы в локальной сети.

Вне порта LAN пикселя у меня есть 3com Super Stack 3. Это шлюз по умолчанию для всех машин на локальной сети. В стеке есть запись для маршрутизации трафика на IP-адрес пикселя и, следовательно, в Интернет.

Наконец, я хочу как-то настроить несколько новых интернет-серверов на 2-й 5-й IP-адрес блока. Он имеет другой шлюз, чем первый блок, и совершенно другой диапазон номеров, и я исследовал, что, похоже, нет способа добавить этот блок в пиксель. Я должен был бы заменить пиксель устройством ASA с несколькими физическими соединениями.

Я ищу мозговой штурм по альтернативным идеям:

Я думал, что одной из возможностей будет запуск второй линии от кабельного модема к другому устройству брандмауэра - у меня есть некоторые другие младшие блоки, которые, вероятно, подойдут для простой настройки брандмауэра с 5-IP-адресом / 5-серверным NAT. Это будет отдельная мини-ЛВС от супер-стека 3.

Тем не менее, я должен иметь возможность доступа к этим серверам изнутри локальной сети. Я не уверен, как бы я связал эти две сети вместе, возможно, со статической маршрутизацией?

Интересно, можно ли перейти с кабельного модема на второе устройство брандмауэра в супер стек 3? Мне не нужны исходящие запросы для выхода из этого 2-го брандмауэра, он действительно только для входящих. Тем не менее, было бы неплохо, если бы существовал способ создать записи в супер-стеке для маршрутизации трафика для этих 5 серверов через 2-й межсетевой экран.

Просто ищите некоторые концепции (помимо замены пикселя), которые, по вашему мнению, будут работать. Спасибо!

1

firewall routing nat cisco-pix 3com

Источник

Scott Szretter 30 июл '11 в 13:05

1 ответ

Решение

Другие вопросы по тегам firewall routing nat cisco-pix 3com

user48838 30 июл '11 в 15:07 2011-07-30 15:07 · Accepted Answer · 2011-07-30 15:07

Похоже, вы должны быть в состоянии настроить расположение:

Интернет в кабельный модем
Кабельный модем с PIX на Super Stack на LAN (текущая конфигурация)
Кабельный модем параллельно дополнительному брандмауэру (новая конфигурация)
Дополнительный брандмауэр для новых серверов (новая конфигурация)
Дополнительный брандмауэр параллельно Super Stack to LAN (новая конфигурация)

PIX и дополнительное устройство брандмауэра будут управлять своей собственной локальной сетью, а Super Stack будет направлять трафик (на основе вашего описания Super Stack, являющегося устройством уровня 3) в каждую из соответствующих конфигураций LAN из основной LAN.