단일 공용 IP를 사용하는 라우터-방화벽-내부 네트워크 NAT

빠른 답변:일반적인 홈 연결에는 IP 주소가 하나만 있으며 PIX를 DSL에 직접 연결하고 이 단일 IP 주소를 WAN 인터페이스에 할당한 다음 라우터를 어딘가에 놓아두어야 합니다. 이는 표준 DSL 홈 연결에 대해 일반적인 ISP가 지원하는 유일한 시나리오입니다.

Internet -> PIX -> switch

PIX external: <public static IP>
PIX internal: 192.168.0.1

좀 더 설명적인 답변은 다음과 같습니다.ISP와 PIX 사이에 라우터를 사용할 수 있으려면 라우터와 PIX 사이에 사용하는 서브넷이 사용자에게 할당되고 라우팅되어야 합니다.ISP에 의해. 내부 네트워크의 트래픽은 PIX 외부 인터페이스에서 오는 것처럼 보이고 해당 주소는 사용자에게 다시 돌아오는 길을 찾기 위해 인터넷의 라우팅 시스템에 알려져 있어야 하기 때문에 자신의 서브넷을 선택하여 거기에 배치할 수 없습니다. .

잠시 동안 ISP가 귀하에게 서브넷을 할당하는 데 동의하고 사용하려는 시나리오가 작동할 것이라고 가정해 보겠습니다. 게다가 서브넷이 내부의 모든 장치를 포괄할 만큼 충분히 큰 경우 PIX를 라우팅 모드에서 투명 모드로 변경할 수 있습니다. 방법. 그러면 PIX의 양쪽에서 동일한 서브넷을 사용할 수 있습니다.

훨씬 더 나은 옵션은 PIX 내부에 라우터를 두고 거기에 여러 서브넷을 설정하고 PIX와 라우터(및 스위치가 있는 경우 스위치) 사이에 모든 종류의 멋진 라우팅 프로토콜 및 VLAN 시나리오를 수행하는 것입니다. VLAN을 지원하는 것). 연습을 통해 더 많은 일을 할 수 있기 때문에 적극 권장합니다.

이것이 도움이 되길 바랍니다... :)

예, PIX의 내부 네트워크와 외부 네트워크에 대해 서로 다른 서브넷이 필요합니다. 그러나 PIX와 2811 사이의 네트워크는 작을 수 있으며 주소 지정 가능한 IP가 2개만 필요하므로 /30 10.0.0.0/30을 사용할 수 있습니다(비록 귀하의 시나리오에서는 /24가 주소를 보존하는 것에 대해 걱정하지 않더라도) 괜찮아요).

이중 NAT는 패킷의 소스 및 대상 IP 모두에 대해 NAT를 지정하고 일반적으로 연결의 가까운 끝과 원격 끝에서 발생하므로 이 경우에는 적용할 수 없습니다.

당신은 단순히 두 번 이야기하고 있습니다. 괜찮습니다. PIX 소프트웨어의 이후 릴리스에서는 인터페이스를 동일한 보안 수준으로 설정하거나 nat 제어를 비활성화하여 인터페이스 간 NAT 요구 사항을 끌 수 있습니다.