Juniper SSG5上的多个外部IP范围

Question

我在一个数据中心有一个Juniper 5防火墙。第一个接口(eth0/0)被分配了一个静态IP地址，并为VIP Nat配置了另外三个地址。我有一个静态路由配置为0.0.0.0/0的最低优先级到我的主机公司的网关。

现在我需要配置第二个IP块。我将is分配给第二个接口(eth0/1)，它与第一个安全区域和虚拟路由器位于同一个安全区域。但是，有了这个接口，我(a)不能启动出站会话(浏览internet、ping、DNS查找等)，即使我可以从外部访问防火墙后面的服务器，(b)不能访问防火墙/网关的管理IP。

我试过任何我能想到的东西，但我想这有点超出了我的想象。有人能指出我的正确方向吗？

接口:ethernet0/0xxx.xx.242.4/29不信任Layer3

 ethernet0/1     xxx.xxx.152.0/28    Untrust     Layer3  

路线：

http://i.stack.imgur.com/60s41.png

Answer 1

因为ISP都来自同一个ISP，所以您只需将来自新块的地址应用到现有不信任接口上的MIP。您不必定义第二个物理接口。

这是因为Netscreen也是一个路由器。

因此，当世界想要向新块发送数据包时，ISP将为新块上的IP进行ARP，而您的Netscreen将响应。

当Netscreen需要将数据包从新块上的IP发送回世界其他地方时，它将使用现有块中的默认路由器；ISP应接受此通信量。

这不是直觉，但有效。

Answer 2

您可以尝试创建一个回送接口，并将其与新地址块关联，然后将它们与主以太网接口相关联。您需要在回送界面上维护您的MIP。我自己正在使用这个设置，它运行得很好。