我是一家小型托管公司的兼职系统管理员,目前有 20 台不同的公共服务器。我们有 27 个子网块,最多可以提供 30 个可用 IP 地址。我知道这么多,但是如何最大限度地增加可用于 Cisco ASA (5510) 上的 DMZ 的 IP 数量?
ASA 的外部接口需要其中一个公共 IP,对吗?我可以将其余 IP 分配给 DMZ 接口而无需进行配置吗?我已阅读DMZ 子网:是否使用 NAT?问题,并意识到 nating 并不坏,但我更愿意在 DMZ 接口上创建一个具有公共 IP 地址的子网。我只是不明白如何在不浪费 IP 地址的情况下做到这一点... 抱歉问了一个可能微不足道的问题。
更多背景信息:我们即将更换 ISP(以降低带宽成本),这将使我们的公共 IP 范围从 25 个子网块减少到 27 个子网块。旧设置很简单,但浪费 IP 地址。现在我需要更加小心,而且我的网络技能还不够好。
答案1
您的 ISP 可能会在其网络上为您提供一个公共 IP,作为 ASA 的外部接口,然后将您的 /27 路由到该 IP。如果您需要 DMZ 中服务器的每个 IP 地址,我建议在您的 DMZ 接口上使用 /26 专用网络,使用第一个 IP 作为默认网关,然后将该子网的上半部分 NAT 到您的公共 IP 空间。例如,使用192.168.1.0/26您的 ASA 接口将是192.168.1.1,您的服务器将是192.168.1.32-192.168.1.63
然后您将静态 NAT192.168.1.32/27到您的公共 IP 空间,如下所示
static (DMZ,outside) x.x.x.x 192.168.1.32 netmask 255.255.255.224