Como maximizar a utilização do bloco de sub-redes atribuído para DMZ

2

Eu sou administrador de tempo parcial para uma pequena empresa de hospedagem com atualmente 20 diferentes servidores públicos. Temos um bloco de 27 sub-redes que nos fornece no máximo 30 endereços IP utilizáveis. Isso eu sei, mas como eu maximizo o número de IPs que eu posso usar para o DMZ em nosso Cisco ASA (5510)?

A interface externa do ASA precisa de um dos IPs públicos, certo? Posso atribuir o resto dos IPs à interface DMZ sem nating? Li a sub-rede DMZ: para NAT ou não para NAT?

Mais informação de fundo: Estamos prestes a mudar o ISP (para reduzir o custo da largura de banda), o que reduzirá o nosso intervalo de IP público de um bloco de 25 sub-redes para um bloco de 27 sub-redes. A configuração antiga era simples, mas perdia endereços IP. Agora preciso ser mais cuidadoso e minhas habilidades em rede não são adequadas.

    
por hansfn 26.03.2012 / 10:14

1 resposta

0

Provavelmente, seu ISP fornecerá um único IP público em sua rede para a interface externa do seu ASA e, em seguida, roteará seu / 27 para esse IP. Se você vai precisar de cada endereço IP para servidores em sua DMZ, sugiro usar uma rede privada / 26 em sua interface DMZ, usando o primeiro IP como seu gateway padrão e, em seguida, NAT a metade superior dessa sub-rede para seu público Espaço IP. Por exemplo, usar 192.168.1.0/26 da sua interface ASA seria 192.168.1.1 e seus servidores seriam 192.168.1.32-192.168.1.63
Então você usaria o NAT estático 192.168.1.32/27 para o seu espaço IP público assim como

static (DMZ,outside) x.x.x.x 192.168.1.32 netmask 255.255.255.224
    
por 27.03.2012 / 14:46