利用两个外部互联网子网-路由或物理连接的想法？

Question

我正在寻找一些想法，我可以如何利用第二个5互联网ip地址子网，我已经可以从我的isp。

目前，我有一个isp电缆调制解调器，其中有5个以太网端口。它没有(也可能不能)提供任何防火墙或过滤。

在其中一个端口，我有一个思科pix 503提供防火墙，过滤，vpn。pix只有两个端口- WAN和LAN。pix目前是使用第一个5 ip地址块设置的，工作正常。pix有用于静态nat映射的条目，用于将传入的通信量映射到LAN上的服务器。

在pix的lan端口上，我有一个3 3com超级堆栈3，这是局域网上所有机器的默认网关。堆栈中有一个条目，用于将流量路由到pix ip地址，从而输出到internet。

最后，我想在第二个ip地址块上设置一些新的互联网服务器。它有一个不同的网关，与第一个块和一个完全不同的数字范围，我已经研究过，似乎没有办法把这个块加入到pix。我需要用一个具有多个物理连接的ASA设备来替换pix。

我正在寻找一些关于其他想法的集思广益：

1. 我在想，一种可能的方法是从电缆调制解调器到另一种防火墙设备运行第2行--我有一些其他的低端设备，它们可能足以用于一个简单的5 ip地址/5服务器nat映射防火墙设置。这将是一个独立的迷你局域网与超级堆栈3。

但是，我也需要能够从局域网内部访问这些服务器。我不知道如何将这两个网络连接在一起，可能是静态路由吗？

1. 我想知道是否有可能从电缆调制解调器到第二个防火墙设备进入超级堆栈3？我不需要任何传出请求，以走出这第二个防火墙，它真的是只为传入。尽管如此，如果有一种方法在超级堆栈中创建条目，将这5台服务器的流量路由到第二防火墙，那就太好了。

只是寻找一些你认为有用的概念(除了替换pix)。谢谢!

Answer 1

听起来您应该能够配置如下的安排：

• 因特网到电缆调制解调器
• 电缆调制解调器到PIX到超级堆栈到LAN (当前配置)
• 电缆调制解调器与附加防火墙设备并行(新配置)
• 新服务器的附加防火墙(新配置)
• 额外防火墙并行超级堆栈到局域网(新配置)

PIX和附加防火墙设备将各自管理自己的LAN，Super将从主LAN将通信量(根据您对Super是第3层设备的描述)路由到每个相应的LAN配置。