Configure o Cisco Pix 515 com DMZ e sem NAT

1

Espero que alguém possa esclarecer minha situação, já que sou relativamente novo nas configurações do PIX.

Eu vou estar recebendo uma nova rede para o meu departamento, que eu vou configurar. Em minhas mãos, eu tenho um Cisco PIX 515 (não E), um switch Cisco 2948 (e, se necessário, posso abrir um roteador 2621XM, mas este é o meu particular e não pertence ao meu departamento.)

A rede que eu vou conseguir é a seguinte:

10.12.33.0/26 A rede de conexão entre os roteadores ISP e minha rede será 10.12.32.0/29, em que GW é .1 e os roteadores HSRP são .2 e .3

O ISP me pediu para não enviar os endereços do NAT para o lado, já que eles configuram para dar o 10.12.33.2 como um nat nativo para um IP público. O restante dos IPs será um NAT muitos-para-um para outro IP público.

10.12.33.2 é suposto ser meu servidor colocado na DMZ, o restante dos IPs será usado para meus clientes e para o servidor do AD (que atualmente também está atuando como um servidor DHCP na antiga configuração de rede com outro ISP).

Agora, a questão é: como eu configuraria melhor isso? Quero dizer, estou pensando errado aqui, eu devo colocar o PIX primeiro da tomada do ISP, depois para o switch que conectará meus clientes. Mas com os roteadores ISP em uma rede diferente, como o firewall encaminhará os pacotes para a outra rede, é um firewall, não um roteador.

Eu nunca configurei um pix antes, e felizmente, isso é mais como uma rede de laboratório, não uma rede de produção, então, se algo der errado, não é o fim do mundo, ainda que seja irritante.

Eu não estou pedindo uma configuração completa de ninguém, apenas algumas direções, ou possivelmente alguns links que me darão algumas dicas.

Muito obrigado!

    
por Rickard 10.12.2012 / 18:44

1 resposta

0

Se eu estou lendo isso, você tem 10.12.33.0/26 para suas redes DMZ e LAN, e 10.12.32.0/29 é o seu link para o mundo exterior. Você precisará sub-redes dos seus IPs alocados em duas / 27 redes, uma para a DMZ e outra para a LAN.

  DMZ = 10.12.33.0/27 
  LAN = 10.12.33.32/27
  EXT = 10.12.32.0/29

Você precisará criar três zonas de segurança no PIX e definir níveis de segurança. Adicione interfaces vlan a cada zona e forneça-lhes endereços IP ... Configure uma rota estática para seu acesso à Internet e, em seguida, suas regras de NAT e Acesso. Os comandos básicos são aqui:

Quanto a como você conectaria tudo, a conexão do ISP vai para a interface externa do PIX. Conecte a interface interna a uma porta de tronco no seu switch e permita as vlans que você configurou no switch. Em seguida, divida as portas de acesso nas vlans apropriadas. Essa é a ideia básica. Espero que isso seja de alguma ajuda.

    
por 10.12.2012 / 19:46