단일 공용 IP를 사용하는 라우터-방화벽-내부 네트워크 NAT

단일 공용 IP를 사용하는 라우터-방화벽-내부 네트워크 NAT

네트워킹에 대해 더 많이 배우려는 노력의 일환으로 저는 가정용으로 오래된 Cisco 장비를 구입했습니다. 나는 2811 라우터, PIX 515e 방화벽, 스위치(모델이 기억나지 않음)를 가지고 있습니다. 내 수신 연결은 단일 고정 IP 주소가 있는 DSL 회선입니다.

완료되었을 때 네트워크의 모습은 다음과 같습니다.

[Internet -> 2811 -> PIX -> switch]

제 질문은, 라우터-PIX 연결과 PIX-스위치 연결에 서로 다른 서브넷을 사용해야 합니까?입니다. 예를 들어:

Router external: <public static IP>
Router internal: 10.0.0.1

PIX external: 10.0.0.2
PIX internal: 192.168.0.1

아니면 모든 것을 동일한 서브넷에 배치할 수 있나요?

Router external: <public static IP>
Router internal: 10.0.0.1

PIX external: 10.0.0.2
PIX internal: 10.0.0.3

다른 서브넷을 사용한다면 작업할 공용 IP 주소가 하나뿐이므로 라우터와 PIX에서도 NAT를 사용해야 한다고 생각합니다. 맞습니까? PIX는 서로 다른 서브넷에 있는 경우 내부 네트워크에서 외부 네트워크로 라우팅할 수 없습니다. 나는 이것을 분명히 나쁜 "이중 NAT"라고 언급하는 것을 몇 번 보았습니다.

그러나 모든 것을 동일한 서브넷에 배치하는 경우 모든 내부 클라이언트에 대해 기본 게이트웨이를 무엇으로 설정해야 합니까? 라우터의 내부 IP 여야한다고 생각합니다. 하지만 스위치가 방화벽 반대편에 있는 라우터를 찾을 수 있을지는 모르겠습니다.

그렇다면 이 상황에서 어떻게 하시겠습니까? 바라건대 이것은 여러분에게 쉬운 일입니다. :-)

답변1

빠른 답변:일반적인 홈 연결에는 IP 주소가 하나만 있으며 PIX를 DSL에 직접 연결하고 이 단일 IP 주소를 WAN 인터페이스에 할당한 다음 라우터를 어딘가에 놓아두어야 합니다. 이는 표준 DSL 홈 연결에 대해 일반적인 ISP가 지원하는 유일한 시나리오입니다.

Internet -> PIX -> switch

PIX external: <public static IP>
PIX internal: 192.168.0.1

좀 더 설명적인 답변은 다음과 같습니다.ISP와 PIX 사이에 라우터를 사용할 수 있으려면 라우터와 PIX 사이에 사용하는 서브넷이 사용자에게 할당되고 라우팅되어야 합니다.ISP에 의해. 내부 네트워크의 트래픽은 PIX 외부 인터페이스에서 오는 것처럼 보이고 해당 주소는 사용자에게 다시 돌아오는 길을 찾기 위해 인터넷의 라우팅 시스템에 알려져 있어야 하기 때문에 자신의 서브넷을 선택하여 거기에 배치할 수 없습니다. .

잠시 동안 ISP가 귀하에게 서브넷을 할당하는 데 동의하고 사용하려는 시나리오가 작동할 것이라고 가정해 보겠습니다. 게다가 서브넷이 내부의 모든 장치를 포괄할 만큼 충분히 큰 경우 PIX를 라우팅 모드에서 투명 모드로 변경할 수 있습니다. 방법. 그러면 PIX의 양쪽에서 동일한 서브넷을 사용할 수 있습니다.

훨씬 더 나은 옵션은 PIX 내부에 라우터를 두고 거기에 여러 서브넷을 설정하고 PIX와 라우터(및 스위치가 있는 경우 스위치) 사이에 모든 종류의 멋진 라우팅 프로토콜 및 VLAN 시나리오를 수행하는 것입니다. VLAN을 지원하는 것). 연습을 통해 더 많은 일을 할 수 있기 때문에 적극 권장합니다.

이것이 도움이 되길 바랍니다... :)

답변2

예, PIX의 내부 네트워크와 외부 네트워크에 대해 서로 다른 서브넷이 필요합니다. 그러나 PIX와 2811 사이의 네트워크는 작을 수 있으며 주소 지정 가능한 IP가 2개만 필요하므로 /30 10.0.0.0/30을 사용할 수 있습니다(비록 귀하의 시나리오에서는 /24가 주소를 보존하는 것에 대해 걱정하지 않더라도) 괜찮아요).

이중 NAT는 패킷의 소스 및 대상 IP 모두에 대해 NAT를 지정하고 일반적으로 연결의 가까운 끝과 원격 끝에서 발생하므로 이 경우에는 적용할 수 없습니다.

당신은 단순히 두 번 이야기하고 있습니다. 괜찮습니다. PIX 소프트웨어의 이후 릴리스에서는 인터페이스를 동일한 보안 수준으로 설정하거나 nat 제어를 비활성화하여 인터페이스 간 NAT 요구 사항을 끌 수 있습니다.

관련 정보