Коллеги, так имеет задача решение на PIX-506Е (прошивка 6.3) или нет? Еще раз суть задачи:
1. Есть PIX с внешним адресом ВА на интерфейсе outside, между внутренним и внешним интерфейсом - NAT (внутренние адреса серые, внешний - белый).
2. Есть два сервера во внутренней сети с адресами ЛА1 и ЛА2
3. При обращении из внешней сети (Интернета) на адрес ВА с адреса К1, запрос должен уходить к ЛА1, соответственно с адреса К2 - на адрес ЛА2.

Данный вопрос здесь на форуме поднимался, но ответа не было, были только предложения сменить постановку задачи (развести запросы по портам и т.д.).

Вроде бы под эту задачу просится использование static со ссылкой на ACL, но как-то не получается его применить.
В документации Cisco во всех примерах решается прямо противоположная задача - один внутренний адрес выпускается во-вне с двух внешних.

• PIX - развести один внешний адрес на два внутренних,lomo, 18:33 , 11-Июн-08
  • PIX - развести один внешний адрес на два внутренних,IgorB, 16:00 , 13-Июн-08
• PIX - развести один внешний адрес на два внутренних,wast, 16:40 , 16-Июн-08
  • PIX - развести один внешний адрес на два внутренних,IgorB, 20:46 , 16-Июн-08
    • PIX - развести один внешний адрес на два внутренних,IgorB, 18:47 , 17-Июн-08

>Вроде бы под эту задачу просится использование static со ссылкой на ACL,
>но как-то не получается его применить.

А что конкретно не получается?

>>Вроде бы под эту задачу просится использование static со ссылкой на ACL,
>>но как-то не получается его применить.
>
>А что конкретно не получается?

Не получается вот что:
1. Теория. По формату команды ACL ставится вместо локального адреса. Где-то так:

access-list 100 permit ip host ЛА1 host К1
static (inside,outside) ВА access-list 100

Т.е. в ACL я должен описать трафик между адресом клиента и ЛОКАЛЬНЫМ адресом. Но клиент обращается к внешнему адресу, не к внутреннему! Т.е. его трафик по этому ACL не опознается! А если в ACL указать

access-list 100 permit ip host ВА host К1

то получается, что локальные адреса в этой конструкции вообще отсутствуют!

2. Практика. Абстрагируясь от записи собственно ACL получается, что я должен написать

static (inside,outside) ВА access-list 100
static (inside,outside) ВА access-list 101

При попытке ввести вторую команду появляется сообщение об ошибке дублирования ВА...

>[оверквотинг удален]
>К1, запрос должен уходить к ЛА1, соответственно с адреса К2 -
>на адрес ЛА2.
>
>Данный вопрос здесь на форуме поднимался, но ответа не было, были только
>предложения сменить постановку задачи (развести запросы по портам и т.д.).
>
>Вроде бы под эту задачу просится использование static со ссылкой на ACL,
>но как-то не получается его применить.
>В документации Cisco во всех примерах решается прямо противоположная задача - один
>внутренний адрес выпускается во-вне с двух внешних.

Воспользуйся именными ACL. В таком случае можно будет сделать правило и промапить оба адреса Ла

>
>Воспользуйся именными ACL. В таком случае можно будет сделать правило и промапить
>оба адреса Ла
>

А нельзя ли чуть подробнее? Может, ссылку на доку, на примеры? Честно говоря, не вижу (в данной ситуации) разницы между именованным и стандартным ACL... Чего-то недопонимаю?

>>
>>Воспользуйся именными ACL. В таком случае можно будет сделать правило и промапить
>>оба адреса Ла
>>
>
>А нельзя ли чуть подробнее? Может, ссылку на доку, на примеры? Честно
>говоря, не вижу (в данной ситуации) разницы между именованным и стандартным
>ACL... Чего-то недопонимаю?

Вдогонку - опять же, как повлияет смена типа ACL на невозможность использовать один внешний адрес в двух командах static?