我希望有人能够对我的情况有所了解,因为我对PIXconfiguration相当陌生。
我将为我的部门获得一个新的networking,我将configuration它。 在我手中,我有一台Cisco PIX 515(不是E),一台Cisco 2948交换机(如果需要的话,我可以启动一台2621XM路由器,但这是我的私有的,不属于我的部门)。
我将得到的networking如下:
10.12.33.0/26 ISP路由器和我的networking之间的链路networking将是10.12.32.0/29,其中GW是0.1,HSRP路由器是0.2和0.3
互联网服务供应商要求我不要在地址上加上NAT,因为他们会把10.12.33.2作为一对一的公共IP地址。 其余的IP将是另一个公有IP的多对一NAT。
10.12.33.2应该是我的服务器放在DMZ上,其余的IP将用于我的客户端和AD服务器(目前在另一个ISP的旧networkingconfiguration中,它也充当DHCP服务器)。
现在,问题是,我怎样才能最好地configuration呢? 我的意思是,我在这里想错了,我期望把PIX首先从ISPsockets,然后到连接我的客户端的交换机。 但是,如果ISP路由器位于不同的networking上,防火墙如何将数据包转发到其他networking,这是防火墙,而不是路由器。
实际上,我从来没有configuration过一个pix,幸好这更像是一个实验室networking,而不是一个生产networking,所以如果出现问题,它不是世界的尽头,如果它很烦人的话。
我不是要求任何人的完整configuration,只是一些方向,或者可能会给我一些提示的链接。
非常感谢你!
如果我正在读这个权限,你的DMZ和LANnetworking有10.12.33.0/26,而你的链接是10.12.32.0/29。 您需要将您分配的IP分为两个/ 27个networking,一个用于DMZ,另一个用于LAN。
DMZ = 10.12.33.0/27 LAN = 10.12.33.32/27 EXT = 10.12.32.0/29 您将需要在PIX上创build三个安全区域并设置安全级别。 添加到每个区域的VLAN接口,并给他们IP地址…设置一个静态路由为您的互联网访问,然后您的NAT和访问规则。 基本的命令在这里:
至于如何连接一切,ISP连接进入PIX的外部接口。 将内部接口连接到交换机的中继端口,并允许在交换机上configurationvlan。 然后将访问端口划分成适当的vlan。 这是基本的想法。 希望这个对你有帮助。