為了了解有關網路的更多信息,我買了一些舊的思科設備供家庭使用。我有一個 2811 路由器、一個 PIX 515e 防火牆和一個交換器(我已經不記得型號了)。我的傳入連線是具有單一靜態 IP 位址的 DSL 線路。
這是我完成後希望網路的樣子:
[Internet -> 2811 -> PIX -> switch]
我的問題是,路由器到 PIX 連接和 PIX 到交換器連接是否需要使用不同的子網路?例如:
Router external: <public static IP>
Router internal: 10.0.0.1
PIX external: 10.0.0.2
PIX internal: 192.168.0.1
或者我可以將所有東西放在同一個子網路上嗎?
Router external: <public static IP>
Router internal: 10.0.0.1
PIX external: 10.0.0.2
PIX internal: 10.0.0.3
我相信如果我使用不同的子網,那麼我必須在路由器和 PIX 上使用 NAT,因為我只有一個公用 IP 位址可供使用,對嗎?如果 PIX 位於不同的子網路上,則無法從其內部網路路由到外部網路。我見過一些將此稱為“雙重 NAT”的參考,這顯然很糟糕。
但是,如果我將所有內容都放在同一子網路上,我該如何為所有內部用戶端設定預設閘道?我認為它必須是路由器的內部IP。但我不知道交換器是否能夠找到防火牆另一側的路由器。
那麼在這種情況下你會怎麼做?希望這對你們來說是一件容易的事。 :-)
答案1
快速回答:典型的家庭連接只有一個 IP 位址,您必須將 PIX 直接連接到 DSL,並將此單一 IP 位址指派給其 WAN 接口,並將路由器放在某個架子上。這是典型 ISP 支援標準 DSL 家庭連線的唯一方案。
Internet -> PIX -> switch
PIX external: <public static IP>
PIX internal: 192.168.0.1
更具解釋性的答案:為了能夠在 ISP 和 PIX 之間使用路由器,必須將路由器和 PIX 之間使用的子網路指派給您並路由由 ISP。您無法選擇自己的子網路並將其放在那裡,因為來自內部網路的流量似乎來自 PIX 外部接口,並且必須在 Internet 上的路由系統中知道該地址才能找到返回給您的路徑。
假設你的ISP同意為你分配一個子網,你想要使用的場景就可以了,而且,如果子網足夠大,可以覆蓋內部的所有設備,你可以將PIX從路由模式更改為透明模式模式。這樣就可以在 PIX 的兩側使用相同的子網路。
一個更好的選擇是讓路由器位於 PIX 內部,並在那裡設定多個子網,並在 PIX 和路由器(以及交換機,如果您有的話)之間執行各種奇特的路由協定和 VLAN 方案。的一種)。我強烈建議你做練習,因為它會讓你做更多的事情...
我希望這是有幫助的... :)
答案2
是的,PIX 上的內部網路和外部網路需要不同的子網路。但是,PIX 和2811 之間的網路可能很小,它只需要兩個可尋址IP,因此您可以使用/30 10.0.0.0/30 (儘管在您的場景中,您可能不關心保存位址,因此/24 會沒事的)。
雙重 NAT 在這種情況下不適用,因為它指的是對封包的來源 IP 和目標 IP 進行 NAT,並且通常發生在連接的近端和遠端。
你只是簡單地重複了兩次,這很好。在 PIX 軟體的更高版本上,您可以透過將介面設定為相同的安全等級和/或停用 nat-control 來關閉介面之間的 NAT 要求。