Назад | Перейти на главную страницу

Настройте Cisco Pix 515 с DMZ и без NAT

Я надеюсь, что кто-то сможет пролить свет на мою ситуацию, поскольку я новичок в конфигурациях PIX.

Я получу новую сеть для своего отдела, которую собираюсь настроить. В моих руках Cisco PIX 515 (не E), коммутатор Cisco 2948 (и при необходимости я могу подключить маршрутизатор 2621XM, но это мой частный и не принадлежит моему отделу).

Я получу следующую сеть:

10.12.33.0/26 Сеть связи между маршрутизаторами ISP и моей сетью будет 10.12.32.0/29, где GW - .1, а маршрутизаторы HSRP - .2 и .3

Интернет-провайдер попросил меня не использовать NAT для адресов с моей стороны, так как они настроят его так, чтобы 10.12.33.2 передавался как один к одному общедоступному IP. Остальные IP-адреса будут NAT «многие-к-одному» для другого общедоступного IP-адреса.

Предполагается, что 10.12.33.2 будет моим сервером, размещенным в DMZ, остальные IP-адреса будут использоваться для моих клиентов и сервера AD (который в настоящее время также действует как DHCP-сервер в старой конфигурации сети с другим интернет-провайдером).

Теперь вопрос в том, как мне лучше всего это настроить? Я имею в виду, я ошибаюсь здесь, я должен сначала подключить PIX к розетке интернет-провайдера, а затем к коммутатору, который подключит моих клиентов. Но если маршрутизаторы ISP находятся в другой сети, то как межсетевой экран будет пересылать пакеты в другую сеть, это межсетевой экран, а не маршрутизатор.

На самом деле я никогда раньше не настраивал pix, и, к счастью, это больше похоже на лабораторную сеть, а не на производственную сеть, поэтому, если что-то пойдет не так, это не конец света, хотя и раздражает.

Я не прошу ни у кого полной конфигурации, только некоторые направления или, возможно, ссылки, которые дадут мне некоторые подсказки.

Большое спасибо!

Если я правильно читаю, у вас 10.12.33.0/26 для ваших DMZ и LAN сетей, а 10.12.32.0/29 - ваша связь с внешним миром. Вам нужно будет разделить выделенные IP-адреса на две / 27 сетей, одну для DMZ, другую для LAN.

  DMZ = 10.12.33.0/27 
  LAN = 10.12.33.32/27
  EXT = 10.12.32.0/29

Вам нужно будет создать три зоны безопасности на PIX и установить уровни безопасности. Добавьте интерфейсы vlan в каждую зону и дайте им IP-адреса ... Установите статический маршрут для вашего доступа в Интернет, а затем свои правила NAT и доступа. Основные команды: Вот:

Что касается того, как вы все подключите, соединение ISP идет во внешний интерфейс PIX. Подключите внутренний интерфейс к магистральному порту коммутатора и разрешите использование виртуальных локальных сетей, которые вы настроили на коммутаторе. Затем разделите порты доступа на соответствующие vlan. Это основная идея. Надеюсь, это поможет.