Firewall
利用兩個外部網際網路子網 - 路由或物理連接的想法?
我正在尋找一些關於如何利用我的 isp 提供的第二個 5 網際網路 IP 地址子網的想法。
目前我有 isp 電纜調製解調器,上面有 5 個乙太網埠。它沒有(也可能不能)提供任何防火牆或過濾。
在其中一個埠中,我有一個提供防火牆、過濾、vpn 的 cisco pix 503。pix 只有兩個埠——WAN 和 LAN。pix 目前使用第一個 5 ip 地址塊設置並且工作正常。pix 具有靜態 nat 映射條目,用於將傳入流量傳入 LAN 上的伺服器。
在 pix 的 LAN 埠外,我有一個 3com Super Stack 3。這是 LAN 上所有機器的預設網關。堆棧中有一個條目可將流量路由到 pix ip 地址,從而將流量路由到 Internet。
最後,我想以某種方式在第二個 5 ip 地址塊上設置一些新的網際網路伺服器。它具有與第一個塊不同的網關和完全不同的數字範圍,我研究過似乎沒有辦法將此塊添加到像素中。我需要用具有多個物理連接的 ASA 設備替換 pix。
我正在尋找一些關於替代想法的頭腦風暴:
- 我在想一種可能性是將第二條線路從電纜調製解調器執行到不同的防火牆設備 - 我有一些其他低端單元可能足以用於簡單的 5 ip 地址/5 伺服器 nat 映射防火牆設置。這將是一個獨立於超級堆棧 3 的迷你 LAN。
但是,我還需要能夠從 LAN 內部訪問這些伺服器。我不確定如何將這兩個網路連接在一起,可能使用靜態路由?
- 我想知道是否可以從電纜調製解調器到超級堆棧 3 中的第二個防火牆設備?我不需要任何傳出請求就可以通過第二個防火牆,它實際上只用於傳入。也就是說,如果有一種方法可以在超級堆棧中創建條目以將這 5 台伺服器的流量路由到第二個防火牆之外,那就太好了。
只是尋找一些您認為可行的概念(除了替換像素)。謝謝!
聽起來您應該能夠配置以下安排:
- 網際網路到電纜調製解調器
- 電纜調製解調器到 PIX 到超級堆棧到 LAN(目前配置)
- 與附加防火牆設備並行的電纜調製解調器(新配置)
- 新伺服器的附加防火牆(新配置)
- 與 Super Stack to LAN 並行的附加防火牆(新配置)
PIX 和附加防火牆設備將各自管理自己的 LAN,超級堆棧將流量(基於您對超級堆棧是第 3 層設備的描述)路由到主 LAN 中的每個相應 LAN 配置。