En un esfuerzo por aprender más sobre redes, compré algunos equipos antiguos de Cisco para uso doméstico. Tengo un enrutador 2811, un firewall PIX 515e y un conmutador (no recuerdo el modelo). Mi conexión entrante es una línea DSL con una única dirección IP estática.
Así es como quiero que se vea la red cuando termine:
[Internet -> 2811 -> PIX -> switch]
Mi pregunta es, ¿necesito usar subredes diferentes para la conexión de enrutador a PIX y para la conexión de PIX a conmutador? Por ejemplo:
Router external: <public static IP>
Router internal: 10.0.0.1
PIX external: 10.0.0.2
PIX internal: 192.168.0.1
¿O puedo poner todo en la misma subred?
Router external: <public static IP>
Router internal: 10.0.0.1
PIX external: 10.0.0.2
PIX internal: 10.0.0.3
Creo que si uso diferentes subredes entonces tengo que usar NAT en el enrutador y también en el PIX ya que solo tengo una dirección IP pública con la que trabajar, ¿correcto? El PIX no puede enrutarse desde su red interna a la externa si están en subredes diferentes. He visto algunas referencias a esto como "doble NAT", lo cual aparentemente es malo.
Pero si coloco todo en la misma subred, ¿qué configuro como puerta de enlace predeterminada para todos los clientes internos? Creo que tendría que ser la IP interna del router. Pero no sé si el conmutador podrá encontrar el enrutador al otro lado del firewall.
Entonces, ¿qué harías en esta situación? Esperemos que esto sea fácil para ustedes. :-)
Respuesta1
La respuesta rápida:Una conexión doméstica típica tiene solo una dirección IP, y tendrá que conectar el PIX directamente al DSL y asignar esta única dirección IP a su interfaz WAN y dejar el enrutador en un estante en algún lugar. Este es el único escenario admitido por un ISP típico para una conexión doméstica DSL estándar.
Internet -> PIX -> switch
PIX external: <public static IP>
PIX internal: 192.168.0.1
La respuesta un poco más explicativa:Para que pueda usar el enrutador entre el ISP y su PIX, la subred que usa entre el enrutador y el PIX deberá ser asignada y enrutada.por el ISP. No puede elegir su propia subred y colocarla allí, ya que el tráfico de la red interna parece provenir de la interfaz externa PIX, y esa dirección debe conocerse en el sistema de enrutamiento de Internet para poder encontrar el camino de regreso a usted. .
Digamos por un momento que su ISP acepta asignarle una subred, el escenario que desea utilizar funcionará; además, si la subred es lo suficientemente grande como para cubrir todos los dispositivos en el interior, puede cambiar el PIX del modo enrutado a transparente. modo. Entonces sería posible utilizar la misma subred en ambos lados del PIX.
Una opción mucho mejor para jugar es tener el enrutador dentro del PIX, configurar múltiples subredes allí y realizar todo tipo de protocolos de enrutamiento sofisticados y escenarios de VLAN entre el PIX y el enrutador (y el conmutador si tiene uno que admita VLAN). Eso te recomiendo mucho que lo hagas para practicar, ya que te permitirá hacer muchas más cosas...
Espero que esto sea útil... :)
Respuesta2
Sí, necesita diferentes subredes para las redes interna y externa del PIX. Sin embargo, la red entre PIX y 2811 puede ser pequeña, solo necesita dos IP direccionables, por lo que puede usar /30 10.0.0.0/30 (aunque en su escenario no le preocupará conservar direcciones, por lo que /24 estar bien).
La doble NAT no es aplicable en este caso, ya que se refiere a la transferencia de las IP de origen y de destino de un paquete, y generalmente ocurre en el extremo cercano y remoto de una conexión.
Simplemente estás natando dos veces, lo cual está bien. En versiones posteriores del software PIX, puede desactivar el requisito de NAT entre interfaces configurándolas en el mismo nivel de seguridad y/o desactivando el control nat.