Псевдонимы IP-адресов — какую маску подсети использовать?

tag-icon tag-icon networking firewall adsl
Псевдонимы IP-адресов — какую маску подсети использовать?

Признаюсь, я немного запутался.

Наш интернет-провайдер предоставил нам несколько дополнительных IP-адресов для нашей учетной записи ADSL2. В отправленном ими письме были указаны IP-адреса с подсетью 255.255.255.240:

203.214.69.1/28 по 203.214.69.14/28 гв: 203.206.182.192

Я пытаюсь добавить их в качестве псевдонимов к соединению в конфигурации нашего брандмауэра (чтобы впоследствии создать несколько правил NAT 1-1 для предоставления доступа к нашим внутренним веб-серверам).

При добавлении псевдонимов в конфигурацию подключения нашего брандмауэра следует ли использовать 28 или 32 в качестве маски подсети?

Как интернет-адрес может иметь подсеть 28? Возможно, я серьезно ошибаюсь, но я думал, что у интернета самое высокое разрешение, когда дело касается адресов.

Хорошо, дайте мне это.

Спасибо всем,

Эшли

решение1

Провайдер услуг Интернета маршрутизирует эти дополнительные IP-адреса по стандартному соединению. На самом деле неважно, какую сетевую маску вы установите, если она не больше, чем ожидает провайдер услуг Интернета. Я просто указываю их все как дополнительные адреса /32, когда имею с ними дело.

решение2

Эшли,

Я думаю, вам следует определить псевдонимы на вашем брандмауэре с маской подсети /32. Ваш брандмауэр может пересылать все запросы для вашей публичной подсети на ваш (например) веб-сервер. Внешний интерфейс вашего брандмауэра, конечно, будет иметь маску подсети /28.

Но это сильно зависит от вашего брандмауэра. Какой продукт вы используете?

HTH, ПЭра

решение3

Подсеть будет одинаковой для всех адресов, поскольку они принадлежат друг другу.

/28 — этоНотация CIDRкоторый описывает маску подсети 255.255.255.240.

решение4

Для целей определения NAT каждый из этих IP-адресовдолженбыть определены как /32. Если вы определите их как /28, то трафик на все 16 IP-адресов в этом диапазоне CIDR будет соответствовать первому NAT, который вы определили в своей политике.

EDIT: Расширяя вышесказанное; это может меняться в зависимости от платформы, но, основываясь на моем опыте работы с Checkpoint NAT, рассмотрите следующее. (Я также напишу о Cisco, на более позднем этапе; это требует немного больше усилий, чтобы выразить).

Для целей данного примера правила NAT Checkpoint можно рассматривать в следующем виде:

|| Original         || Translated       ||
|| Src | Dst | Port || Src | Dst | Port ||

В этом случае нас интересует «Original Dst». Предположим, что мы создаем правило для трафика, предназначенного для 203.214.69.1, который будет перенаправлен на внутренний веб-сервер.

Original
Source: Any
Destination: 203.214.69.1/28
Port: TCP/80. TCP/443

Destination:
Source: Original
Destination: 192.168.1.1/32
Port: Original

Проблема с этим правилом в том, что 203.214.69.1/28 будет соответствовать трафику, направленному на любой IP-адрес в диапазоне: [ 203.214.69.0 ... 203.214.69.15 ]

И любые последующие правила (например, перенаправление SMTP-трафика с 203.214.69.2 на внутренний сервер 192.168.1.2) никогда не будут выполнены.

Случаи, когда этот префикс необходимо будет определить как /28:

  1. При использовании для маршрутизации. Похоже, у вас только один интернет-провайдер, поэтому я бы предположил, что у вас будет статический маршрут по умолчанию, указывающий на шлюз по умолчанию вашего интернет-провайдера, а у вашего интернет-провайдера будет статический маршрут для вашего выделенного /28, указывающий на ваше устройство с выходом в интернет (брандмауэр?). В этом случае трафик для всех этих IP-адресов будет направляться на ваш интернет-шлюз независимо от того, как вы определяете адреса в политике брандмауэра.

  2. Когда вы используете его как настоящую подсеть уровня 3, где все хосты должны находиться в одном широковещательном домене. Как вы сказали, эти адреса будут использоваться для NAT для внутренних веб-серверов, этот случай также не применим.

Связанный контент