Признаюсь - я немного заблудился.
Наш интернет-провайдер предоставил нам несколько дополнительных IP-адресов для нашей учетной записи ADSL2. В электронном письме, которое они отправили, указаны IP-адреса с подсетью 255.255.255.240:
От 203.214.69.1/28 до 203.214.69.14/28 gw: 203.206.182.192
Я пытаюсь добавить их как псевдонимы к соединению в нашей конфигурации брандмауэра (чтобы впоследствии я мог создать несколько правил NAT 1-1, чтобы открыть наши внутренние веб-серверы).
Должен ли я при добавлении псевдонимов в конфигурацию подключения нашего брандмауэра использовать 28 или 32 в качестве маски подсети?
Как может интернет-адрес иметь подсеть 28? Возможно, я серьезно ошибаюсь, но я думал, что у Интернета самое высокое разрешение, когда дело касается адресов.
Хорошо - дай мне это.
Спасибо всем,
Эшли
Эшли,
Я думаю, вам следует определить псевдонимы на вашем брандмауэре с маской подсети / 32. Ваш брандмауэр может пересылать все запросы для вашей общедоступной подсети на ваш (например) веб-сервер. Внешний интерфейс вашего брандмауэра, конечно же, будет иметь сетевую маску / 28.
Но это сильно зависит от вашего брандмауэра. Какой продукт вы используете?
HTH, PEra
Интернет-провайдер маршрутизирует эти дополнительные IP-адреса через стандартное соединение. На самом деле не имеет значения, какую сетевую маску вы установили, если она не больше, чем ожидает интернет-провайдер. Я просто указываю их все как / 32 дополнительных адреса, когда работаю с ними.
Подсеть будет одинаковой для всех адресов, потому что они принадлежат друг другу.
/ 28 - это Обозначение CIDR который описывает маску подсети 255.255.255.240.
Вы должны добавить маску подсети / 28. IP-адрес всегда имеет подсеть, / 32 означает, что IP-адрес находится только в своей собственной подсети. В этом случае он будет недоступен. / 32 используются для добавления определенного маршрута к хосту или в брандмауэрах.
Использование маски подсети / 28 не означает, что у вас «меньшее разрешение» адресного пространства. IP-адрес по-прежнему имеет 32-битное значение. Маска подсети только определяет, в какой сети живет адрес.
Я думаю, что вы должны прочитать о том, что такое маска подсети: http://en.wikipedia.org/wiki/Subnetwork
В целях определения NAT каждый из этих IP-адресов должен можно определить как a / 32. Если вы определите их как / 28s, то трафик на все 16 IP в этом диапазоне CIDR будет соответствовать первому NAT, который вы определили в своей политике.
РЕДАКТИРОВАТЬ: расширение вышеизложенного; это может варьироваться в зависимости от платформы, но, исходя из моего опыта работы с Checkpoint NAT, учтите следующее. (Я напишу и о Cisco позже; потребуется немного больше усилий, чтобы выразить).
Для целей этого примера правила NAT для контрольной точки можно рассматривать в форме:
|| Original || Translated ||
|| Src | Dst | Port || Src | Dst | Port ||
В данном случае мы имеем дело с «Исходным DST». Предположим, что мы создаем правило для трафика, предназначенного для 203.214.69.1, который будет перенаправлен на внутренний веб-сервер.
Original
Source: Any
Destination: 203.214.69.1/28
Port: TCP/80. TCP/443
Destination:
Source: Original
Destination: 192.168.1.1/32
Port: Original
Проблема с этим правилом заключается в том, что 203.214.69.1/28 будет соответствовать трафику, предназначенному для любого IP-адреса в диапазоне: [203.214.69.0 ... 203.214.69.15]
И любые последующие правила (например, перенаправление SMTP-трафика на 203.214.69.2 на внутренний сервер 192.168.1.2) никогда не будут выполнены.
Случаи, когда этот префикс нужно будет определить как / 28:
Когда используется для маршрутизации. Похоже, у вас только один интернет-провайдер, поэтому я ожидаю, что у вас будет статический маршрут по умолчанию, указывающий на шлюз по умолчанию вашего интернет-провайдера, а у вашего интернет-провайдера будет статический маршрут для вашего выделенного / 28, указывающий на ваше устройство с выходом в Интернет (брандмауэр? ). В этом случае трафик для всех этих IP-адресов будет направляться на ваш интернет-шлюз независимо от того, как вы определяете адреса в своей политике брандмауэра.
Когда вы используете его как настоящую подсеть уровня 3, где все хосты должны находиться в одном широковещательном домене. Как вы сказали, эти адреса будут использоваться для NAT для внутренних веб-серверов, этот случай также не применяется.
Должен ли я при добавлении псевдонимов в конфигурацию подключения нашего брандмауэра использовать 28 или 32 в качестве маски подсети?
Если бы я был на вашем месте, я бы начал с использования / 28 именно так, как вам сказал ваш провайдер. Они знают, как настроен маршрутизатор на их стороне.
От 203.214.69.1/28 до 203.214.69.14/28 gw: 203.206.182.192
Что-то кажется немного странным. Этот шлюз не находится в той же сети, что и предоставленные вами IP-адреса. Вы уверены, что адресное пространство должно быть размещено за пределами вашего брандмауэра? Где они ожидают, что вы разместите это в сети за вашим брандмауэром и, возможно, направите его?