Juniper/SSG5のDMZの設定

Juniper/SSG5(6.1.0r2.0)のDMZの設定について教えて頂きたい。
Eth0/0(Untrust)は、プロバイダからPPOE経由で、固定IP[8IP]を取得しております。
Eth0/1(DMZ Zone)に、固定IPを使用したサーバ複数台を接続設置しようとしています。
SSG5のネットワークの設定：
Untrust側：固定IP[8IP]の1番目
DMZ側 ：固定IP[8IP]の2番目
サーバ：固定IP[8IP]の3番目
としました。
固定IPが[8IP]なので、DMZのサブネットマスクを[29]とするとエラーとなり設定を行なうことが出来ません。
DMZのサブネットマスクを[32]とすると設定はできますので
DMZのサブネットマスクがUntrustのアドレス範囲となると、設定ができない状況です。

設定漏れ等が考えられます。ご教授をお願いします。

No.3 ベストアンサー 回答者： t-okura 回答日時： 2012/05/20 20:43

CLI で

set vrouter trust-vr ignore-subnet-conflict
と設定する方法もあります。

下記の「3」が参考になります。
http://www.hs-juniperproducts.jp/faq/ssg_netscre …

No.2 回答者： hyter 回答日時： 2012/05/20 01:37

私ならwellowさんと同じく、DMZ-IF、及びDMZのサーバにはプライベートなIPアドレスを振ります。

で、Untrust-IFでMIPの設定を行い、DMZのサーバとの間でStatic-NATを行うようにします。

イメージ的には
　Untrust：X.X.X.X(Untrust-IF)
　Untrust：X.X.X.A<------>DMZ：Y.Y.Y.A
　Untrust：X.X.X.B<------>DMZ：Y.Y.Y.B
でしょうか。
　　　

No.1 回答者： wellow 回答日時： 2012/05/19 22:27

＞固定IPが[8IP]なので、DMZのサブネットマスクを[29]とするとエラーとなり設定を行なうことが出来ません。

＞DMZのサブネットマスクを[32]とすると設定はできますので
＞DMZのサブネットマスクがUntrustのアドレス範囲となると、設定ができない状況です。

/29に設定するってことは、UntrustもDMZも同じセグメントっていうことですから、矛盾してますね。
DMZのインタフェースにグローバルIPをふるってのは何故ですか？　私ならTrustとは異なるプライベートIPをふりますけどね。