Назад | Перейти на главную страницу

Псевдонимы IP-адресов - какую маску подсети использовать?

Признаюсь - я немного заблудился.

Наш интернет-провайдер предоставил нам несколько дополнительных IP-адресов для нашей учетной записи ADSL2. В электронном письме, которое они отправили, указаны IP-адреса с подсетью 255.255.255.240:

От 203.214.69.1/28 до 203.214.69.14/28 gw: 203.206.182.192

Я пытаюсь добавить их как псевдонимы к соединению в нашей конфигурации брандмауэра (чтобы впоследствии я мог создать несколько правил NAT 1-1, чтобы открыть наши внутренние веб-серверы).

Должен ли я при добавлении псевдонимов в конфигурацию подключения нашего брандмауэра использовать 28 или 32 в качестве маски подсети?

Как может интернет-адрес иметь подсеть 28? Возможно, я серьезно ошибаюсь, но я думал, что у Интернета самое высокое разрешение, когда дело касается адресов.

Хорошо - дай мне это.

Спасибо всем,

Эшли

Эшли,

Я думаю, вам следует определить псевдонимы на вашем брандмауэре с маской подсети / 32. Ваш брандмауэр может пересылать все запросы для вашей общедоступной подсети на ваш (например) веб-сервер. Внешний интерфейс вашего брандмауэра, конечно же, будет иметь сетевую маску / 28.

Но это сильно зависит от вашего брандмауэра. Какой продукт вы используете?

HTH, PEra

Интернет-провайдер маршрутизирует эти дополнительные IP-адреса через стандартное соединение. На самом деле не имеет значения, какую сетевую маску вы установили, если она не больше, чем ожидает интернет-провайдер. Я просто указываю их все как / 32 дополнительных адреса, когда работаю с ними.

Подсеть будет одинаковой для всех адресов, потому что они принадлежат друг другу.

/ 28 - это Обозначение CIDR который описывает маску подсети 255.255.255.240.

Вы должны добавить маску подсети / 28. IP-адрес всегда имеет подсеть, / 32 означает, что IP-адрес находится только в своей собственной подсети. В этом случае он будет недоступен. / 32 используются для добавления определенного маршрута к хосту или в брандмауэрах.

Использование маски подсети / 28 не означает, что у вас «меньшее разрешение» адресного пространства. IP-адрес по-прежнему имеет 32-битное значение. Маска подсети только определяет, в какой сети живет адрес.

Я думаю, что вы должны прочитать о том, что такое маска подсети: http://en.wikipedia.org/wiki/Subnetwork

В целях определения NAT каждый из этих IP-адресов должен можно определить как a / 32. Если вы определите их как / 28s, то трафик на все 16 IP в этом диапазоне CIDR будет соответствовать первому NAT, который вы определили в своей политике.

РЕДАКТИРОВАТЬ: расширение вышеизложенного; это может варьироваться в зависимости от платформы, но, исходя из моего опыта работы с Checkpoint NAT, учтите следующее. (Я напишу и о Cisco позже; потребуется немного больше усилий, чтобы выразить).

Для целей этого примера правила NAT для контрольной точки можно рассматривать в форме:

|| Original         || Translated       ||
|| Src | Dst | Port || Src | Dst | Port ||

В данном случае мы имеем дело с «Исходным DST». Предположим, что мы создаем правило для трафика, предназначенного для 203.214.69.1, который будет перенаправлен на внутренний веб-сервер.

Original
Source: Any
Destination: 203.214.69.1/28
Port: TCP/80. TCP/443

Destination:
Source: Original
Destination: 192.168.1.1/32
Port: Original

Проблема с этим правилом заключается в том, что 203.214.69.1/28 будет соответствовать трафику, предназначенному для любого IP-адреса в диапазоне: [203.214.69.0 ... 203.214.69.15]

И любые последующие правила (например, перенаправление SMTP-трафика на 203.214.69.2 на внутренний сервер 192.168.1.2) никогда не будут выполнены.

Случаи, когда этот префикс нужно будет определить как / 28:

  1. Когда используется для маршрутизации. Похоже, у вас только один интернет-провайдер, поэтому я ожидаю, что у вас будет статический маршрут по умолчанию, указывающий на шлюз по умолчанию вашего интернет-провайдера, а у вашего интернет-провайдера будет статический маршрут для вашего выделенного / 28, указывающий на ваше устройство с выходом в Интернет (брандмауэр? ). В этом случае трафик для всех этих IP-адресов будет направляться на ваш интернет-шлюз независимо от того, как вы определяете адреса в своей политике брандмауэра.

  2. Когда вы используете его как настоящую подсеть уровня 3, где все хосты должны находиться в одном широковещательном домене. Как вы сказали, эти адреса будут использоваться для NAT для внутренних веб-серверов, этот случай также не применяется.

Должен ли я при добавлении псевдонимов в конфигурацию подключения нашего брандмауэра использовать 28 или 32 в качестве маски подсети?

Если бы я был на вашем месте, я бы начал с использования / 28 именно так, как вам сказал ваш провайдер. Они знают, как настроен маршрутизатор на их стороне.

От 203.214.69.1/28 до 203.214.69.14/28 gw: 203.206.182.192

Что-то кажется немного странным. Этот шлюз не находится в той же сети, что и предоставленные вами IP-адреса. Вы уверены, что адресное пространство должно быть размещено за пределами вашего брандмауэра? Где они ожидают, что вы разместите это в сети за вашим брандмауэром и, возможно, направите его?