Tek Genel IP ile Yönelticiden Firewall'a Dahili ağa NAT

Ağ oluşturma hakkında daha fazla bilgi edinmek için eski Cisco ekipmanlarını ev kullanımı için kullandım. 2811 yönlendiricim, PIX 515e güvenlik duvarı ve bir anahtarım var (modeli hatırlamıyorum). Gelen bağlantım, tek statik IP adresli bir DSL hattıdır.

İşte işim bittiğinde ağın nasıl görünmesini istediğim:

[Internet -> 2811 -> PIX -> switch]

Sorum şu: yönlendiriciden PIX'e bağlantı ve PIX-to-switch bağlantısı için farklı alt ağlar kullanmam gerekir mi? Örneğin:

Router external: <public static IP>
Router internal: 10.0.0.1

PIX external: 10.0.0.2
PIX internal: 192.168.0.1

Veya her şeyi aynı alt ağa koyabilir miyim?

Router external: <public static IP>
Router internal: 10.0.0.1

PIX external: 10.0.0.2
PIX internal: 10.0.0.3

Farklı alt ağlar kullanırsam, yönlendirici ve ayrıca PIX üzerinde NAT kullanmam gerektiğine inanıyorum, çünkü çalışmak için yalnızca bir ortak IP adresim var, doğru mu? PIX, farklı alt ağlardalarsa dahiliden harici ağa yönlendiremez. Bunun için görünüşte kötü olan "çift NAT" olarak birkaç referans gördüm.

Ancak her şeyi aynı alt ağa koyarsam, varsayılan ağ geçidimi tüm iç istemciler için olacak şekilde ne ayarlarım? Yönelticinin dahili IP'si olması gerektiğini düşünüyorum. Ancak, anahtarın güvenlik duvarının diğer tarafında yönlendiriciyi bulabilecek olup olmadığını bilmiyorum.

Peki bu durumda ne yapardın? Umarım bu sizin için kolay bir şeydir. :-)

Hızlı cevap: Tipik bir ev bağlantısının yalnızca bir IP adresi vardır ve PIX'i doğrudan DSL'e bağlamanız ve bu tek IP adresini WAN arayüzüne atamanız ve yönlendiriciyi bir rafta bırakmanız gerekir. Standart bir DSL ev bağlantısı için tipik bir ISS tarafından desteklenen tek senaryodur.

Internet -> PIX -> switch

PIX external: <public static IP>
PIX internal: 192.168.0.1

Biraz daha açıklayıcı cevap: ISS ile PIX'iniz arasında yönlendiriciyi kullanabilmeniz için, yönlendirici ile PIX arasında kullandığınız alt ağın size atanması ve ISS tarafından yönlendirilmesi gerekir . Kendi alt ağınızı seçemez ve oraya koyamazsınız, çünkü içerideki ağdan gelen trafik PIX harici arayüzünden geliyor gibi görünmektedir ve bu adres İnternet'e yönlendirme sisteminde size geri dönüş yolunu bulmak zorundadır. .

Bir an için ISS'nizin size bir alt ağ atamayı kabul ettiğini varsayalım, kullanmak istediğiniz senaryo çalışacaktır, ayrıca, eğer alt ağ iç kısımdaki tüm cihazı kapsayacak kadar büyükse, PIX'i yönlendirilmiş moddan şeffaf hale getirebilirsiniz modu. Daha sonra, PIX'in her iki tarafında da aynı alt ağı kullanmak mümkün olacaktır.

Oynamak için çok daha iyi bir seçenek, yönlendiricinin PIX'in içinde olması ve orada birden fazla alt ağ kurması ve PIX ile yönlendirici arasında her türlü fantezi yönlendirme protokolleri ve VLAN senaryoları (ve varsa bir VLAN destekleyen). Uygulama için yapmanı şiddetle tavsiye ederim, çünkü daha çok şey yapmana izin verir ...

Umarım bu yardımcı olur ... :)

Evet, PIX'teki iç ve dış ağlar için farklı alt ağlara ihtiyacınız var. Bununla birlikte, PIX ve 2811 arasındaki ağ küçük olabilir, yalnızca iki adreslenebilir IP'ye ihtiyaç duyar, bu nedenle a / 30 10.0.0.0/30 kullanabilirsiniz (senaryonuzda a / 24 adreslerinin adreslerini korumakla ilgili endişeleriniz olmasa da iyi ol).

Double NAT, bu durumda bir paketin hem kaynağını hem de hedef IP'lerini yerleştirmeyi ifade ettiğinden ve genellikle bir bağlantının yakın ve uzak ucunda gerçekleştiği için geçerli değildir.

Siz sadece iki kez oturuyorsunuz, bu iyi. PIX yazılımının daha sonraki sürümlerinde, arayüzleri arasındaki aynı NAT seviyesine ayarlayarak ve / veya nat-control özelliğini devre dışı bırakarak NAT gereksinimini kapatabilirsiniz.