为了更多地了解网络,我买了一些旧的思科设备供家庭使用。我有一台 2811 路由器、一台 PIX 515e 防火墙和一台交换机(不记得型号了)。我的传入连接是一条具有单个静态 IP 地址的 DSL 线路。
当我完成时,我希望网络看起来是这样的:
[Internet -> 2811 -> PIX -> switch]
我的问题是,路由器到 PIX 的连接和 PIX 到交换机的连接是否需要使用不同的子网?例如:
Router external: <public static IP>
Router internal: 10.0.0.1
PIX external: 10.0.0.2
PIX internal: 192.168.0.1
或者我可以将所有内容放在同一个子网上吗?
Router external: <public static IP>
Router internal: 10.0.0.1
PIX external: 10.0.0.2
PIX internal: 10.0.0.3
我认为如果我使用不同的子网,那么我必须在路由器和 PIX 上使用 NAT,因为我只有一个公共 IP 地址可以使用,对吗?如果它们位于不同的子网上,PIX 就无法从其内部网络路由到外部网络。我看到一些将其称为“双重 NAT”,这显然是不好的。
但是如果我把所有东西都放在同一个子网上,我该为所有内部客户端设置默认网关吗?我认为应该是路由器的内部 IP。但我不知道交换机是否能找到防火墙另一侧的路由器。
那么在这种情况下你会怎么做?希望这对你们来说很容易。:-)
答案1
快速回答:典型的家庭连接只有一个 IP 地址,您必须将 PIX 直接连接到 DSL,并将这个单一 IP 地址分配给其 WAN 接口,并将路由器放在某个架子上。这是典型 ISP 支持的标准 DSL 家庭连接的唯一方案。
Internet -> PIX -> switch
PIX external: <public static IP>
PIX internal: 192.168.0.1
稍微解释一下答案:为了能够使用 ISP 和 PIX 之间的路由器,路由器和 PIX 之间使用的子网必须分配给您并路由由 ISP。您无法选择自己的子网并将其放在那里,因为来自内部网络的流量似乎来自 PIX 外部接口,并且 Internet 上的路由系统必须知道该地址才能找到返回您的路径。
假设您的 ISP 同意为您分配一个子网,您想要使用的方案将可行,此外,如果子网足够大,可以覆盖内部的所有设备,您可以将 PIX 从路由模式更改为透明模式。然后就可以在 PIX 的两侧使用相同的子网。
一个更好的选择是将路由器放在 PIX 内部,在那里设置多个子网,并在 PIX 和路由器(以及交换机,如果你有一个支持 VLAN 的交换机)之间执行各种奇特的路由协议和 VLAN 方案。我强烈建议你这样做,因为它将允许你做更多的事情......
我希望这是有帮助的... :)
答案2
是的,您需要为 PIX 上的内部和外部网络设置不同的子网。但是,PIX 和 2811 之间的网络可以很小,只需要两个可寻址 IP,因此您可以使用 /30 10.0.0.0/30(尽管在您的方案中您可能不关心节省地址,因此 /24 就足够了)。
在这种情况下,双重 NAT 不适用,因为它指的是对数据包的源 IP 和目标 IP 进行 NAT,并且通常发生在连接的近端和远端。
您只是进行了两次 nat,这没什么问题。在 PIX 软件的更高版本中,您可以通过将接口设置为相同的安全级别和/或禁用 nat-control 来关闭接口之间的 NAT 要求。