ジュニパーSSG5の複数の外部IP範囲
データセンターにJuniperSSG5ファイアウォールがあります。最初のインターフェイス(eth0/0)には静的IPアドレスが割り当てられており、他に3つのアドレスが構成されていますVIP Nat。静的ルートが0.0.0.0/0の最低優先度で構成されています私のホスティング会社のゲートウェイに。
次に、2番目のIPブロックを構成する必要があります。最初のインターフェースと同じセキュリティゾーンと仮想ルーターにある2番目のインターフェース(eth0/1)にIPを割り当てています。ただし、このインターフェイスを有効にすると、(a)ファイアウォールの背後にあるサーバーに外部から問題なくアクセスできても、(a)アウトバウンドセッション(インターネットの閲覧、ping、DNSルックアップなど)を開始できず、(b)pingを実行できません。ファイアウォール/ゲートウェイの管理IP。
思いつくことは何でもやってみましたが、頭より少し上だと思います。誰かが私を正しい方向に向けることができますか?
インターフェース:ethernet0/0 xxx.xxx.242.4/29 Untrust Layer3
[。
ルート:
IPは両方とも同じISPからのものであるため、新しいブロックのアドレスを既存の信頼できないインターフェイスのMIPに適用するだけで済みます。 2番目の物理インターフェイスを定義する必要はありません。
Netscreenはルーターでもあるため、これは機能します。
したがって、世界が新しいブロックにパケットを送信したい場合、ISPは新しいブロックのIPに対してARPを実行し、Netscreenが応答します。
Netscreenは、新しいブロックのIPから他の世界にパケットを送り返す必要がある場合、既存のブロックのデフォルトルーターを使用します。 ISPはこのトラフィックを受け入れる必要があります。
これは直感的ではありませんが、機能します。
ループバックインターフェイスを作成して新しいアドレスブロックに関連付けてから、プライマリイーサネットインターフェイスに関連付けることができます。ループバックインターフェイスでMIPを維持する必要があります。私はこのセットアップを自分で使用していますが、非常にうまく機能しています。