我有一个PIX 501与5静态IP地址。 我的isp只给了我5个。 我想弄清楚如何添加新块，然后如何打开/打开其中至less一个内部机器。

到目前为止，我命名了一个新的接口“intf2”，IP范围是71.11.11.58 – 62（网关应该71.11.11.57）

imgsvr是我想要（71.11.11.59）其中一个新IP地址的机器。 邮件（.123）是映射到当前现有的5个IP块（96.11.11.121 gate / 96.11.11.122-127）并正常工作的机器的一个示例。

Building configuration... : Saved : PIX Version 6.3(4) interface ethernet0 auto interface ethernet0 vlan1 logical interface ethernet1 auto nameif ethernet0 outside security0 nameif ethernet1 inside security100 nameif vlan1 intf2 security1 enable password xxxxxxxxx encrypted passwd xxxxxxxxx encrypted hostname xxxxxxxPIX domain-name xxxxxxxxxxx no fixup protocol dns fixup protocol ftp 21 fixup protocol h323 h225 1720 fixup protocol h323 ras 1718-1719 fixup protocol http 80 fixup protocol rsh 514 fixup protocol rtsp 554 fixup protocol sip 5060 fixup protocol sip udp 5060 fixup protocol skinny 2000 no fixup protocol smtp 25 fixup protocol sqlnet 1521 fixup protocol tftp 69 names ...snip... name 192.168.10.13 mail name 192.168.10.29 imgsvr object-group network vpn1 network-object mail 255.255.255.255 access-list outside_access_in permit tcp any host 96.11.11.124 eq www access-list outside_access_in permit tcp any host 96.11.11.124 eq https access-list outside_access_in permit tcp any host 96.11.11.124 eq 3389 access-list outside_access_in permit tcp any host 96.11.11.123 eq https access-list outside_access_in permit tcp any host 96.11.11.123 eq www access-list outside_access_in permit tcp any host 96.11.11.125 eq smtp access-list outside_access_in permit tcp any host 96.11.11.125 eq https access-list outside_access_in permit tcp any host 96.11.11.125 eq 10443 access-list outside_access_in permit tcp any host 96.11.11.126 eq smtp access-list outside_access_in permit tcp any host 96.11.11.126 eq https access-list outside_access_in permit tcp any host 96.11.11.126 eq 10443 access-list outside_access_in deny ip any any access-list inside_nat0_outbound permit ip 192.168.0.0 255.255.0.0 IPPool2 255.255.255.0 access-list inside_nat0_outbound permit ip 172.17.0.0 255.255.0.0 IPPool2 255.255.255.0 access-list inside_nat0_outbound permit ip 172.16.0.0 255.255.0.0 IPPool2 255.255.255.0 ...snip... access-list inside_access_in deny tcp any any eq smtp access-list inside_access_in permit ip any any pager lines 24 logging on logging buffered notifications mtu outside 1500 mtu inside 1500 ip address outside 96.11.11.122 255.255.255.248 ip address inside 192.168.10.15 255.255.255.0 ip address intf2 71.11.11.58 255.255.255.248 ip audit info action alarm ip audit attack action alarm pdm location exchange 255.255.255.255 inside pdm location mail 255.255.255.255 inside pdm location IPPool2 255.255.255.0 outside pdm location 96.11.11.122 255.255.255.255 inside pdm location 192.168.10.1 255.255.255.255 inside pdm location 192.168.10.6 255.255.255.255 inside pdm location mail-gate1 255.255.255.255 inside pdm location mail-gate2 255.255.255.255 inside pdm location imgsvr 255.255.255.255 inside pdm location 71.11.11.59 255.255.255.255 intf2 pdm logging informational 100 pdm history enable arp timeout 14400 global (outside) 1 interface global (outside) 2 96.11.11.123 global (intf2) 3 interface global (intf2) 4 71.11.11.59 nat (inside) 0 access-list inside_nat0_outbound nat (inside) 2 mail 255.255.255.255 0 0 nat (inside) 1 0.0.0.0 0.0.0.0 0 0 static (inside,outside) tcp 96.11.11.123 smtp mail smtp netmask 255.255.255.255 0 0 static (inside,outside) tcp 96.11.11.123 https mail https netmask 255.255.255.255 0 0 static (inside,outside) tcp 96.11.11.123 www mail www netmask 255.255.255.255 0 0 static (inside,outside) 96.11.11.124 ts netmask 255.255.255.255 0 0 static (inside,outside) 96.11.11.126 mail-gate2 netmask 255.255.255.255 0 0 static (inside,outside) 96.11.11.125 mail-gate1 netmask 255.255.255.255 0 0 access-group outside_access_in in interface outside access-group inside_access_in in interface inside route outside 0.0.0.0 0.0.0.0 96.11.11.121 1 route intf2 0.0.0.0 0.0.0.0 71.11.11.57 2 timeout xlate 0:05:00 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00 timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00 timeout uauth 0:05:00 absolute floodguard enable ...snip... : end [OK] 

谢谢！

• 威胁pipe理网关无法访问NAS上的共享
• configurationCisco路由器过载NAT（IOS 15）
• Trunk端口不会接受打印机vlan
• 思科IP帮助器的问题 – MAC地址？
• Cisco AS5350可以用作会话边界控制器（ip-to-ip）吗？

更新：我与networking顾问讨论了这个问题，他说你不能添加另一个默认网关的第二个IP地址范围，除非你有一个额外的物理以太网接口。 pix只有2个（外部和内部），所以他说不可能添加第二个范围！ 这是真的？

他还表示，有一种可能性是让ISP将新的IP块路由到当前的网关地址。 那有意义吗？

让我们来看看我们可以用什么技巧来克服这个愚蠢的限制：我们将使用Proxy-ARPfunction来响应同一以太网接口上的另一个IP请求，而不需要实际启动它。 在我的例子中，我将使用eth0 / 1和'内部'vlan，vlan1，configuration一个现有的'主'ip范围：192.168.0.1/24; 我将添加另一个IP 192.168.1.1，以便这个范围内的主机也将工作在ASA之后：
首先找出您将使用的以太网接口的MAC地址。
 sh接口Ethernet0 / 1

这应该显示您的networking接口的MAC地址。
在内部vlan上强制这个ARP地址：
接口Vlan1
 mac地址0019.0726.xxxx
名称里面
现在让我们为我们想用作辅助IP的静态ARP条目定义一个IP地址，并使用与上面相同的MAC地址，并启用代理ARP：
 arp里面的192.168.1.1 0019.0726.xxx别名

您可以使用show arp命令来validation这是否正常工作，该命令应返回您的IP和MAC地址，如下所示：
 sh arp
内部192.168.1.1 0019.0726.xxx别名
 ...
在这一点上，本地接口上的任何系统都可以使用ip作为其默认网关，它将工作得很好。 我们只需要确保返回数据包回到源端，这意味着我们必须在内部接口上添加一个静态路由（指向接口的主IP地址，假设我的情况为192.168.0.1 ）：
内部路由192.168.1.0 255.255.255.0 192.168.0.1 1
我们还需要确保在相同的接口主机和相同级别的安全接口之间允许通信：
同一安全通信许可证接口
同一安全通信许可证内部接口

而且您可能要确保访问列表将允许来自/到新添加的networking的stream量。
而已…