Um mehr über Netzwerke zu lernen, habe ich mir einige alte Cisco-Geräte für den Heimgebrauch besorgt. Ich habe einen 2811-Router, eine PIX 515e-Firewall und einen Switch (ich erinnere mich nicht an das Modell). Meine eingehende Verbindung ist eine DSL-Leitung mit einer einzigen statischen IP-Adresse.
So soll das Netzwerk aussehen, wenn ich fertig bin:
[Internet -> 2811 -> PIX -> switch]
Meine Frage ist, muss ich für die Router-zu-PIX-Verbindung und die PIX-zu-Switch-Verbindung unterschiedliche Subnetze verwenden? Beispiel:
Router external: <public static IP>
Router internal: 10.0.0.1
PIX external: 10.0.0.2
PIX internal: 192.168.0.1
Oder kann ich alles im selben Subnetz platzieren?
Router external: <public static IP>
Router internal: 10.0.0.1
PIX external: 10.0.0.2
PIX internal: 10.0.0.3
Ich glaube, wenn ich verschiedene Subnetze verwende, muss ich NAT auf dem Router und auch auf dem PIX verwenden, da ich nur mit einer öffentlichen IP-Adresse arbeiten kann, richtig? Der PIX kann nicht von seinem internen zu seinem externen Netzwerk routen, wenn sie sich in verschiedenen Subnetzen befinden. Ich habe einige Verweise darauf als „Double NAT“ gesehen, was anscheinend schlecht ist.
Aber wenn ich alles in dasselbe Subnetz setze, was muss ich dann als Standard-Gateway für alle internen Clients festlegen? Ich denke, es müsste die interne IP des Routers sein. Aber ich weiß nicht, ob der Switch den Router auf der anderen Seite der Firewall finden kann.
Was würden Sie also in dieser Situation tun? Hoffentlich ist das für Sie einfach. :-)
Antwort1
Die kurze Antwort:Eine typische Heimverbindung hat nur eine IP-Adresse. Sie müssen den PIX direkt an das DSL anschließen, dieser WAN-Schnittstelle diese einzelne IP-Adresse zuweisen und den Router irgendwo im Regal stehen lassen. Dies ist das einzige Szenario, das ein typischer ISP für eine Standard-DSL-Heimverbindung unterstützt.
Internet -> PIX -> switch
PIX external: <public static IP>
PIX internal: 192.168.0.1
Die etwas ausführlichere Antwort:Damit Sie den Router zwischen dem ISP und Ihrem PIX verwenden können, muss Ihnen das Subnetz, das Sie zwischen dem Router und dem PIX verwenden, zugewiesen und geroutet werdendurch den ISP. Sie können nicht Ihr eigenes Subnetz auswählen und es dort platzieren, da der Datenverkehr des internen Netzwerks von der externen PIX-Schnittstelle zu kommen scheint und diese Adresse dem Routingsystem im Internet bekannt sein muss, um den Weg zurück zu Ihnen zu finden.
Nehmen wir einmal an, Ihr ISP stimmt zu, Ihnen ein Subnetz zuzuweisen. Das von Ihnen gewünschte Szenario wird funktionieren. Außerdem könnten Sie, wenn das Subnetz groß genug ist, um alle Geräte im Inneren abzudecken, den PIX vom gerouteten Modus in den transparenten Modus ändern. Dann wäre es möglich, auf beiden Seiten des PIX dasselbe Subnetz zu verwenden.
Eine weitaus bessere Option zum Ausprobieren ist, den Router im PIX zu haben, dort mehrere Subnetze einzurichten und alle möglichen ausgefallenen Routing-Protokolle und VLAN-Szenarien zwischen dem PIX und dem Router (und dem Switch, wenn Sie einen haben, der VLANs unterstützt) durchzuführen. Das würde ich Ihnen zum Üben wärmstens empfehlen, da Sie damit noch viel mehr Dinge tun können ...
Ich hoffe, das ist hilfreich ... :)
Antwort2
Ja, Sie benötigen unterschiedliche Subnetze für die internen und externen Netzwerke auf dem PIX. Das Netzwerk zwischen dem PIX und 2811 kann jedoch klein sein, es benötigt nur zwei adressierbare IPs, sodass Sie ein /30 10.0.0.0/30 verwenden können (obwohl Sie in Ihrem Szenario möglicherweise keine Adressen sparen möchten, sodass ein /24 in Ordnung wäre).
Doppeltes NAT ist in diesem Fall nicht anwendbar, da es sich auf das NAT sowohl der Quell- als auch der Ziel-IPs eines Pakets bezieht und im Allgemeinen am nahen und entfernten Ende einer Verbindung geschieht.
Sie führen einfach zweimal NAT durch, was in Ordnung ist. In späteren Versionen der PIX-Software können Sie die NAT-Anforderung zwischen Schnittstellen deaktivieren, indem Sie sie auf dieselbe Sicherheitsstufe einstellen und/oder die NAT-Steuerung deaktivieren.