ルーターからファイアウォール、内部ネットワーク NAT まで、単一のパブリック IP を使用

簡単な答え:一般的な家庭内接続には IP アドレスが 1 つしかなく、PIX を DSL に直接接続し、この単一の IP アドレスを WAN インターフェイスに割り当てて、ルータをどこかの棚に置いておく必要があります。これは、標準的な DSL 家庭内接続に対して一般的な ISP がサポートする唯一のシナリオです。

Internet -> PIX -> switch

PIX external: <public static IP>
PIX internal: 192.168.0.1

もう少し説明的な答え:ISPとPIXの間でルータを使用できるようにするには、ルータとPIXの間で使用するサブネットを割り当ててルーティングする必要があります。ISPによる内部ネットワークからのトラフィックは PIX 外部インターフェイスから送信されたように見えるため、独自のサブネットを選択してそこに配置することはできません。また、トラフィックが戻ってくるためには、インターネット上のルーティング システムでそのアドレスが認識されている必要があります。

ISP がサブネットの割り当てに同意し、希望するシナリオが機能すると仮定します。さらに、サブネットが内部のすべてのデバイスをカバーするのに十分な大きさであれば、PIX をルーティング モードから透過モードに変更できます。そうすれば、PIX の両側で同じサブネットを使用できるようになります。

試してみるのにはるかに良いオプションは、PIX 内にルーターを設置し、そこに複数のサブネットを設定し、PIX とルーター (および VLAN をサポートするスイッチがある場合はスイッチ) の間であらゆる種類の高度なルーティング プロトコルと VLAN シナリオを実行することです。練習のためにこれを実行することを強くお勧めします。これにより、さらに多くのことができるようになります...

これが役に立つことを願っています... :)

はい、PIX 上の内部ネットワークと外部ネットワークには異なるサブネットが必要です。ただし、PIX と 2811 間のネットワークは小さくてもかまいません。必要なのは 2 つのアドレス指定可能な IP だけなので、/30 10.0.0.0/30 を使用できます (ただし、シナリオではアドレスの節約を気にする必要がないため、/24 でも問題ありません)。

ダブル NAT は、パケットの送信元 IP と宛先 IP の両方を NAT することを指し、通常は接続の近端と遠端で発生するため、この場合は適用されません。

NAT を 2 回実行しているだけなので、問題ありません。PIX ソフトウェアの以降のリリースでは、インターフェイスを同じセキュリティ レベルに設定したり、nat-control を無効にしたりすることで、インターフェイス間の NAT の要件をオフにすることができます。