ネットワークについてもっと学ぶために、自宅用に古い Cisco 機器をいくつか購入しました。2811 ルーター、PIX 515e ファイアウォール、スイッチ (モデルは覚えていません) があります。着信接続は、単一の静的 IP アドレスを持つ DSL 回線です。
完成したネットワークは次のようになります。
[Internet -> 2811 -> PIX -> switch]
私の質問は、ルータから PIX への接続と PIX からスイッチへの接続に異なるサブネットを使用する必要があるかどうかです。例:
Router external: <public static IP>
Router internal: 10.0.0.1
PIX external: 10.0.0.2
PIX internal: 192.168.0.1
または、すべてを同じサブネット上に配置できますか?
Router external: <public static IP>
Router internal: 10.0.0.1
PIX external: 10.0.0.2
PIX internal: 10.0.0.3
異なるサブネットを使用する場合、使用できるパブリック IP アドレスが 1 つしかないため、ルータと PIX の両方で NAT を使用する必要があると思いますが、正しいでしょうか。サブネットが異なる場合、PIX は内部ネットワークから外部ネットワークにルーティングできません。これを「二重 NAT」と呼ぶのを何度か見たことがありますが、これは明らかに良くありません。
しかし、すべてを同じサブネットに配置する場合、すべての内部クライアントのデフォルト ゲートウェイを何に設定すればよいでしょうか。ルーターの内部 IP にする必要があると思います。ただし、スイッチがファイアウォールの反対側にあるルーターを検出できるかどうかはわかりません。
では、このような状況であなたはどうしますか? 皆さんにとってこれが簡単なものであることを願っています。:-)
答え1
簡単な答え:一般的な家庭内接続には IP アドレスが 1 つしかなく、PIX を DSL に直接接続し、この単一の IP アドレスを WAN インターフェイスに割り当てて、ルータをどこかの棚に置いておく必要があります。これは、標準的な DSL 家庭内接続に対して一般的な ISP がサポートする唯一のシナリオです。
Internet -> PIX -> switch
PIX external: <public static IP>
PIX internal: 192.168.0.1
もう少し説明的な答え:ISPとPIXの間でルータを使用できるようにするには、ルータとPIXの間で使用するサブネットを割り当ててルーティングする必要があります。ISPによる内部ネットワークからのトラフィックは PIX 外部インターフェイスから送信されたように見えるため、独自のサブネットを選択してそこに配置することはできません。また、トラフィックが戻ってくるためには、インターネット上のルーティング システムでそのアドレスが認識されている必要があります。
ISP がサブネットの割り当てに同意し、希望するシナリオが機能すると仮定します。さらに、サブネットが内部のすべてのデバイスをカバーするのに十分な大きさであれば、PIX をルーティング モードから透過モードに変更できます。そうすれば、PIX の両側で同じサブネットを使用できるようになります。
試してみるのにはるかに良いオプションは、PIX 内にルーターを設置し、そこに複数のサブネットを設定し、PIX とルーター (および VLAN をサポートするスイッチがある場合はスイッチ) の間であらゆる種類の高度なルーティング プロトコルと VLAN シナリオを実行することです。練習のためにこれを実行することを強くお勧めします。これにより、さらに多くのことができるようになります...
これが役に立つことを願っています... :)
答え2
はい、PIX 上の内部ネットワークと外部ネットワークには異なるサブネットが必要です。ただし、PIX と 2811 間のネットワークは小さくてもかまいません。必要なのは 2 つのアドレス指定可能な IP だけなので、/30 10.0.0.0/30 を使用できます (ただし、シナリオではアドレスの節約を気にする必要がないため、/24 でも問題ありません)。
ダブル NAT は、パケットの送信元 IP と宛先 IP の両方を NAT することを指し、通常は接続の近端と遠端で発生するため、この場合は適用されません。
NAT を 2 回実行しているだけなので、問題ありません。PIX ソフトウェアの以降のリリースでは、インターフェイスを同じセキュリティ レベルに設定したり、nat-control を無効にしたりすることで、インターフェイス間の NAT の要件をオフにすることができます。