Маршрутизатор к межсетевому экрану и внутренней сети NAT с одним общедоступным IP

Question

Чтобы узнать больше о сетях, я выбрал старое оборудование Cisco для домашнего использования. У меня есть маршрутизатор 2811, брандмауэр PIX 515e и коммутатор (не помню модель). Мое входящее соединение - это линия DSL с одним статическим IP-адресом.

Вот как я хочу, чтобы сеть выглядела, когда я закончу:

[Internet -> 2811 -> PIX -> switch]

У меня вопрос: нужно ли использовать разные подсети для подключения маршрутизатора к PIX и подключения PIX к коммутатору? Например:

Router external: <public static IP>
Router internal: 10.0.0.1

PIX external: 10.0.0.2
PIX internal: 192.168.0.1

Или я могу поместить все в одну подсеть?

Router external: <public static IP>
Router internal: 10.0.0.1

PIX external: 10.0.0.2
PIX internal: 10.0.0.3

Я считаю, что если я использую разные подсети, тогда мне придется использовать NAT на маршрутизаторе, а также на PIX, поскольку у меня есть только один публичный IP-адрес для работы, верно? PIX не может маршрутизировать из своей внутренней во внешнюю сеть, если они находятся в разных подсетях. Я видел несколько ссылок на это как "двойной NAT", что явно плохо.

Но если я помещаю все в одну подсеть, что я должен установить в качестве шлюза по умолчанию для всех внутренних клиентов? Я думаю, что это должен быть внутренний IP-адрес маршрутизатора. Но я не знаю, сможет ли коммутатор найти маршрутизатор на другой стороне брандмауэра.

Так что бы вы сделали в этой ситуации? Надеюсь, это легко для вас, ребята. :-)

Answer 1

Быстрый ответ: Типичное домашнее соединение имеет только один IP-адрес, и вам нужно будет подключить PIX непосредственно к DSL и назначить этот единственный IP-адрес его интерфейсу WAN и оставить маршрутизатор где-нибудь на полке. Это единственный сценарий, поддерживаемый типичным ISP для стандартного домашнего подключения DSL.

Internet -> PIX -> switch

PIX external: <public static IP>
PIX internal: 192.168.0.1

Чуть более поясняющий ответ: чтобы вы могли использовать маршрутизатор между провайдером и вашим PIX, подсеть, которую вы используете между маршрутизатором и PIX, должна быть назначена вам и маршрутизирована провайдером. Вы не можете выбрать свою собственную подсеть и поместить ее туда, так как трафик из внутренней сети, кажется, приходит от внешнего интерфейса PIX, и этот адрес должен быть известен в системе маршрутизации в Интернете, чтобы найти свой путь к вам. ,

Давайте на минутку скажем, что ваш провайдер согласен назначить вам подсеть, сценарий, который вы хотите использовать, будет работать, более того, если подсеть достаточно большая, чтобы охватить все устройства внутри, вы можете изменить PIX с маршрутизируемого режима на прозрачный Режим. Тогда можно было бы использовать одну и ту же подсеть с обеих сторон PIX.

Гораздо лучше для вас поиграть: установить маршрутизатор внутри PIX и настроить там несколько подсетей, а также выполнить все виды необычных протоколов маршрутизации и сценариев VLAN между PIX и маршрутизатором (и коммутатором, если у вас есть тот, который поддерживает VLAN). Это я очень рекомендую вам делать на практике, так как это позволит вам гораздо больше вещей ...

Я надеюсь, что это полезно ... :)

Answer 2

Да, вам нужны разные подсети для внутренних и внешних сетей в PIX. Тем не менее, сеть между PIX и 2811 может быть небольшой, ей нужны только два адресуемых IP-адреса, поэтому вы можете использовать /30 10.0.0.0/30 (хотя в вашем сценарии вас не очень заботит сохранение адресов, поэтому /24 быть в порядке).

Двойной NAT не применим в этом случае, так как относится к получению IP-адресов как источника, так и назначения IP-адреса пакета, и обычно происходит на ближнем и удаленном конце соединения.

Вы просто дважды натуете, и это нормально. В более поздних выпусках программного обеспечения PIX вы можете отключить требование к NAT между интерфейсами, установив для них одинаковый уровень безопасности и / или отключив nat-control.