我在数据中心有一个Juniper SSG 5防火墙。 第一个接口(eth0 / 0)被分配了一个静态IP地址,并为VIP Natconfiguration了另外三个地址。 我有一个静态路由configuration为0.0.0.0/0的最低优先级到我的托pipe公司的网关。
现在我需要configuration第二个IP块。 我将IP分配给第二个接口(eth0 / 1),它与第一个接口位于同一个安全区域和虚拟路由器中。 但是,启用此接口后,我(a)无法启动出站会话(浏览互联网,ping,DNS查找等),即使我可以很好地从外部访问防火墙后面的服务器,(b)无法ping防火墙/网关的pipe理IP。
我已经尝试过任何我能想到的东西,但我想这有点高于我的头。 任何人都可以指向正确的方向吗?
接口:ethernet0 / 0 xxx.xxx.242.4 / 29 Untrust Layer3
ethernet0 / 1 xxx.xxx.152.0 / 28 Untrust Layer3
路线:
http://i.stack.imgur.com/60s41.png
由于IP都来自同一个ISP,所以您可以将新块中的地址应用到现有的不信任接口上的MIP。 您不必定义第二个物理接口。
这是有效的,因为Netscreen也是一个路由器。
所以,当世界想把数据包发送到新块时,ISP会在新的块上为IP寻址ARP,并且你的Netscreen将会响应。
当Netscreen需要从新块上的IP将数据包发送回世界其他地方时,它将使用现有块中的默认路由器; ISP应该接受这个stream量。
这不直观,但它的工作原理。
您可以尝试创build一个回送接口并将其与新的地址块相关联,然后将其与主以太网接口相关联。 您将需要在回送接口上维护您的MIP。 我自己使用这个设置,它工作得很好。