我目前已将 PIX501 的 ethernet0 配置为 DHCP,因此它可以通过电缆调制解调器从我的 ISP 获取 IP。
ISP --- --> [ethernet0/dhcp] | PIX501 | [ethernet1/192.168.1.2] --> [Layer 3 ethernet1/1 192.168.1.3] | PA-200 | --> Internal network
我需要将所有流量(无过滤)从 InternetEthernet0传递Ethernet1到 PIX。
Ethernet1然后PIX将连接到 Palo Alto 防火墙(ethernet1/1),该防火墙将执行 NAT/过滤等...
这可能吗?
我认为这里会涉及一些双 NAT。我的理解是,如果我需要访问内部服务器,双 NAT 会导致问题。
我认为您拥有带有 GW 和 DNS 的真实 IP 池,因此您不需要在 PIX 上进行任何 NAT。你只需要与ISP确认下一个
我只是想知道为什么你在 PIX 上配置 DHCP,在这种情况下 PIX 充当你的 FW 的下一个集线器,可能任何 L3 设备甚至 FW 充当你的 DHCP 服务器。
在这种情况下,我亲爱的 PIX 充当路由器,只需将子网从帕洛阿尔托路由到外部,反之亦然。在这种情况下,NAT 只发生在帕洛阿尔托上,正如我之前提到的那样,它已经拥有真实的 IP
其他答案已经谈到了拓扑结构并且是绝对正确的。我将谈谈 PIX 配置。
如果您运行的是 PIX 代码版本 6.x,那么您将不得不考虑 NAT。您可能知道,在 PIX 代码 6.x 中,任何跨越两个安全级别(即接口)的数据包都必须经过 NAT 处理,否则它们将被丢弃。这种“安全功能”称为nat-control。之所以这样称呼是因为在代码版本 7.x 及更高版本中,您可以选择使用命令禁用此行为no nat-control。
所以,你的选择:
如果您正在运行代码 7.x+,请禁用 nat-control,并让 PIX 将数据包从一个接口路由到另一个接口。
如果您正在运行代码 6.x,则必须对跨越接口的所有内容进行 NAT。最简单的方法是为每个 IP 配置身份 NAT。配置将如下所示:
static (inside,outside) 0.0.0.0 0.0.0.0 netmask 0.0.0.0
如果您正在运行代码 6.x,您还可以尝试将两个接口(内部和外部)设置为相同的安全级别,这可能会排除您对所有通过的内容进行 NAT 的要求。老实说,我还没有测试过这个,只是现在才想到它是一种选择。