Em um esforço para aprender mais sobre redes, comprei alguns equipamentos antigos da Cisco para uso doméstico. Tenho um roteador 2811, um firewall PIX 515e e um switch (não lembro o modelo). Minha conexão de entrada é uma linha DSL com um único endereço IP estático.
Aqui está como eu quero que a rede fique quando terminar:
[Internet -> 2811 -> PIX -> switch]
Minha dúvida é: preciso usar sub-redes diferentes para a conexão roteador-PIX e a conexão PIX-switch? Por exemplo:
Router external: <public static IP>
Router internal: 10.0.0.1
PIX external: 10.0.0.2
PIX internal: 192.168.0.1
Ou posso colocar tudo na mesma sub-rede?
Router external: <public static IP>
Router internal: 10.0.0.1
PIX external: 10.0.0.2
PIX internal: 10.0.0.3
Acredito que se eu usar sub-redes diferentes então terei que usar NAT no roteador e também no PIX já que só tenho um endereço IP público para trabalhar, correto? O PIX não pode rotear de sua rede interna para externa se estiverem em sub-redes diferentes. Tenho visto algumas referências a isso como "NAT duplo", o que aparentemente é ruim.
Mas se eu colocar tudo na mesma sub-rede, como defino meu gateway padrão para todos os clientes internos? Acho que teria que ser o IP interno do roteador. Mas não sei se o switch conseguirá encontrar o roteador do outro lado do firewall.
Então, o que você faria nesta situação? Espero que esta seja fácil para vocês. :-)
Responder1
A resposta rápida:Uma conexão doméstica típica possui apenas um endereço IP, e você terá que conectar o PIX diretamente ao DSL e atribuir esse único endereço IP à sua interface WAN e deixar o roteador em uma prateleira em algum lugar. Este é o único cenário suportado por um ISP típico para uma conexão doméstica DSL padrão.
Internet -> PIX -> switch
PIX external: <public static IP>
PIX internal: 192.168.0.1
A resposta um pouco mais explicativa:Para você poder usar o roteador entre o ISP e o seu PIX, a sub-rede que você usa entre o roteador e o PIX teria que ser atribuída a você e roteadapelo ISP. Você não pode escolher sua própria sub-rede e colocá-la lá, pois o tráfego da rede interna parece vir da interface externa do PIX, e esse endereço precisa ser conhecido no sistema de roteamento da Internet para encontrar o caminho de volta até você .
Digamos por um momento que seu ISP concorda em atribuir uma sub-rede para você, o cenário que você deseja usar funcionará, além disso, se a sub-rede for grande o suficiente para cobrir todos os dispositivos internos, você poderá alterar o PIX do modo roteado para transparente modo. Aí seria possível usar a mesma sub-rede nos dois lados do PIX.
Uma opção muito melhor para você brincar é ter o roteador dentro do PIX, configurar várias sub-redes lá e fazer todos os tipos de protocolos de roteamento sofisticados e cenários de VLAN entre o PIX e o roteador (e o switch, se você tiver aquele que suporta VLANs). Isso eu recomendo fortemente que você faça para praticar, pois isso permitirá que você faça muito mais coisas...
Espero que isto seja útil... :)
Responder2
Sim, você precisa de sub-redes diferentes para as redes internas e externas do PIX. Porém, a rede entre o PIX e o 2811 pode ser pequena, precisa apenas de dois IPs endereçáveis, então você pode usar um /30 10.0.0.0/30 (embora no seu cenário você não se preocupe em conservar endereços então um /24 seria Fique bem).
O NAT duplo não é aplicável neste caso, pois se refere à identificação dos IPs de origem e de destino de um pacote e geralmente acontece na extremidade próxima e remota de uma conexão.
Você está simplesmente natando duas vezes, o que é bom. Em versões posteriores do software PIX, você pode desativar o requisito de NAT entre interfaces configurando-as para o mesmo nível de segurança e/ou desativando o controle nat.