Roteador para Firewall para NAT de rede interna com IP Público Único

0

Em um esforço para aprender mais sobre redes, eu peguei alguns equipamentos antigos da Cisco para uso doméstico. Eu tenho um roteador 2811, um firewall PIX 515e e um switch (não lembro o modelo). Minha conexão de entrada é uma linha DSL com um único endereço IP estático.

Aqui está o que eu quero que a rede seja quando terminar:

[Internet -> 2811 -> PIX -> switch]

A minha pergunta é, eu preciso usar sub-redes diferentes para a conexão do roteador para o PIX e a conexão do PIX para o switch? Por exemplo:

Router external: <public static IP>
Router internal: 10.0.0.1

PIX external: 10.0.0.2
PIX internal: 192.168.0.1

Ou posso colocar tudo na mesma sub-rede?

Router external: <public static IP>
Router internal: 10.0.0.1

PIX external: 10.0.0.2
PIX internal: 10.0.0.3

Eu acredito que se eu usar sub-redes diferentes, então eu tenho que usar o NAT no roteador e também no PIX, já que eu tenho apenas um endereço IP público para trabalhar, correto? O PIX não pode rotear de sua rede interna para externa, se eles estiverem em sub-redes diferentes. Eu tenho visto algumas referências a isso como "double NAT" que aparentemente é ruim.

Mas se eu colocar tudo na mesma sub-rede, o que eu defino meu gateway padrão para todos os clientes internos? Eu acho que teria que ser o IP interno do roteador. Mas eu não sei se o switch será capaz de encontrar o roteador do outro lado do firewall.

Então, o que você faria nessa situação? Espero que seja fácil para vocês. : -)

    
por Takehiko 26.01.2015 / 17:51

2 respostas

0

A resposta rápida: Uma conexão doméstica típica tem apenas um endereço IP, e você terá que conectar o PIX diretamente ao DSL e atribuir este endereço IP único à sua interface WAN e deixar o roteador em uma prateleira em algum lugar. Este é o único cenário suportado por um ISP típico para uma conexão doméstica DSL padrão.

Internet -> PIX -> switch

PIX external: <public static IP>
PIX internal: 192.168.0.1

A pequena resposta mais explicativa: Para que você possa usar o roteador entre o ISP e seu PIX, a sub-rede usada entre o roteador e o PIX teria que ser atribuída a você e encaminhado pelo ISP . Você não pode escolher sua própria sub-rede e colocá-la lá, já que o tráfego da rede interna parece vir da interface externa do PIX, e esse endereço deve ser conhecido no sistema de roteamento na Internet para encontrar o caminho de volta para você .

Digamos, por um momento, que seu ISP concorde em atribuir uma sub-rede a você; o cenário que você deseja usar funcionará; além disso, se a sub-rede for grande o suficiente para cobrir todo o dispositivo interno, você poderá alterar o PIX de encaminhado modo para o modo transparente. Então seria possível usar a mesma sub-rede nos dois lados do PIX.

Uma opção muito melhor para você brincar é ter o roteador dentro do PIX, configurar várias sub-redes e fazer todos os tipos de protocolos de roteamento sofisticados e cenários de VLAN entre o PIX e o roteador (e o switch se você tiver um que suporte VLANs). Isso eu recomendo strongmente que você pratique, já que isso lhe permitirá muito mais coisas ...

Espero que isso seja útil ...:)

    
por 26.01.2015 / 20:07
0

Sim, você precisa de diferentes sub-redes para as redes internas e externas no PIX. No entanto, a rede entre o PIX e o 2811 pode ser pequena, precisa apenas de dois IPs endereçáveis, portanto você pode usar um / 30 10.0.0.0/30 (embora em seu cenário muitos não se preocupem com a conservação de endereços, portanto, um / 24 estar bem).

O NAT duplo não é aplicável neste caso, já que se refere a nomear os IPs de origem e de destino de um pacote e geralmente ocorre na extremidade próxima e remota de uma conexão.

Você está simplesmente tocando duas vezes, o que é bom. Em versões posteriores do software PIX, é possível desativar o requisito para NAT entre as interfaces definindo-as para o mesmo nível de segurança e / ou desativando o nat-control.

    
por 27.01.2015 / 04:46