В попытке узнать больше о сетях я подобрал немного старого оборудования Cisco для домашнего использования. У меня есть маршрутизатор 2811, брандмауэр PIX 515e и коммутатор (модель не помню). Мое входящее соединение — это линия DSL с одним статическим IP-адресом.
Вот как я хочу, чтобы выглядела сеть, когда я закончу:
[Internet -> 2811 -> PIX -> switch]
Мой вопрос: нужно ли использовать разные подсети для соединения маршрутизатор-PIX и соединения PIX-коммутатор? Например:
Router external: <public static IP>
Router internal: 10.0.0.1
PIX external: 10.0.0.2
PIX internal: 192.168.0.1
Или я могу разместить все в одной подсети?
Router external: <public static IP>
Router internal: 10.0.0.1
PIX external: 10.0.0.2
PIX internal: 10.0.0.3
Я считаю, что если я использую разные подсети, то мне придется использовать NAT на маршрутизаторе, а также на PIX, поскольку у меня есть только один публичный IP-адрес для работы, верно? PIX не может маршрутизировать из своей внутренней во внешнюю сеть, если они находятся в разных подсетях. Я видел несколько ссылок на это как на "двойной NAT", что, по-видимому, плохо.
Но если я помещу все в одну подсеть, какой шлюз по умолчанию мне установить для всех внутренних клиентов? Я думаю, это должен быть внутренний IP маршрутизатора. Но я не знаю, сможет ли коммутатор найти маршрутизатор по ту сторону брандмауэра.
Так что бы вы сделали в этой ситуации? Надеюсь, для вас это будет легко. :-)
решение1
Краткий ответ:Типичное домашнее подключение имеет только один IP-адрес, и вам придется подключить PIX напрямую к DSL и назначить этот единственный IP-адрес его интерфейсу WAN, а маршрутизатор оставить где-нибудь на полке. Это единственный сценарий, поддерживаемый типичным провайдером для стандартного домашнего подключения DSL.
Internet -> PIX -> switch
PIX external: <public static IP>
PIX internal: 192.168.0.1
Немного более пояснительный ответ:Чтобы вы могли использовать маршрутизатор между интернет-провайдером и вашим PIX, подсеть, которую вы используете между маршрутизатором и PIX, должна быть назначена вам и маршрутизирована.от интернет-провайдера. Вы не можете выбрать свою собственную подсеть и разместить ее там, поскольку трафик из внутренней сети, по-видимому, поступает из внешнего интерфейса PIX, и этот адрес должен быть известен в системе маршрутизации в Интернете, чтобы найти свой путь обратно к вам.
Давайте на мгновение предположим, что ваш интернет-провайдер соглашается назначить вам подсеть, сценарий, который вы хотите использовать, будет работать, более того, если подсеть достаточно большая, чтобы охватить все устройства внутри, вы можете изменить PIX с маршрутизируемого режима на прозрачный режим. Тогда можно будет использовать одну и ту же подсеть с обеих сторон PIX.
Гораздо лучший вариант для вас, чтобы поиграться, это иметь маршрутизатор внутри PIX и настроить несколько подсетей там, и делать все виды причудливых протоколов маршрутизации и сценариев VLAN между PIX и маршрутизатором (и коммутатором, если у вас есть такой, который поддерживает VLAN). Это я бы настоятельно рекомендовал вам сделать для практики, так как это позволит вам делать гораздо больше вещей...
Надеюсь, это будет полезно... :)
решение2
Да, вам нужны разные подсети для внутренних и внешних сетей на PIX. Однако сеть между PIX и 2811 может быть небольшой, ей нужно всего два адресуемых IP-адреса, поэтому вы можете использовать /30 10.0.0.0/30 (хотя в вашем сценарии вы можете не беспокоиться о сохранении адресов, поэтому /24 будет вполне достаточно).
Двойной NAT в данном случае неприменим, поскольку он подразумевает преобразование как исходного, так и конечного IP-адресов пакета и обычно происходит на ближнем и удаленном конце соединения.
Вы просто делаете natting дважды, что нормально. В более поздних версиях программного обеспечения PIX вы можете отключить требование NAT между интерфейсами, установив для них одинаковый уровень безопасности и/или отключив nat-control.