我们目前只有两个可用IP地址的Cisco ASA。 Cisco有217.67.255.31 ,BT NTE(专线)有217.67.255.32 。 (on /32)
现在我们要把这条线分成两个防火墙,所以现有的ASA和另一个ASA 5510,所以两个防火墙都可以接入线路。 这将通过一个开关完成 – 即NTE Box – > Switch – >链接到每个防火墙。 ISP已经发送了两个额外的IP,但在一个完全独立的子网中用于新的防火墙。
217.67.252.182 217.67.252.183
现在ISP已经明显地将上述范围(/31)路由到当前防火墙上的接口217.67.255.31 。
但是在新的防火墙上,我们将上面的一个IP分配给它的WAN接口,我们为这个接口分配了什么样的默认网关? NTE盒子的IP? 这个怎么用?
您只能将217.67.255.31地址放在您的某个ASA上。
您需要使用HSRP / VRRP设置故障切换,以便每次只有其中一个接收IP地址 – ASA将成为您的内部networking的网关(部分为217.67.252.182和217.67.252.183) 。
听起来像你想要的是类似于我们在话语中build立的 :
Assigned subnet: 64.71.148.0/29 upstream gateway: 64.71.148.1 firewall1: 64.71.148.2 firewall2: 64.71.148.3 HA IP: 64.71.148.4
任何进一步的子网分配由ISP路由到64.71.148.4 。
你的界面是一个/ 30,期间。 该电路上不能有额外的接口。 你可以有(他们提供给你的)额外的IP,可以在该电路中使用(不是子IF,但可路由的IP)。
如果你想用两个不同的ASA进行一个简单的设置,你的ISP需要将实际的电路扩展到一个/ 29或者更大,以允许你的多个接口。