Я по совместительству системный администратор небольшой хостинговой компании с 20 различными общедоступными серверами. У нас есть блок из 27 подсетей, который дает нам максимум 30 используемых IP-адресов. Я знаю это, но как мне увеличить количество IP-адресов, которые я могу использовать для DMZ на нашем Cisco ASA (5510)?
Для внешнего интерфейса ASA нужен один из общедоступных IP-адресов, верно? Могу ли я назначить остальные IP-адреса интерфейсу DMZ без указания адреса? Я прочитал Подсеть DMZ: в NAT или нет? вопрос и поймите, что nating неплох, но я бы предпочел создать подсеть с общедоступными IP-адресами на интерфейсе DMZ. Я просто не понимаю, как я могу это сделать, не тратя впустую IP-адрес ... Извините, что задаю, вероятно, тривиальный вопрос.
Дополнительная справочная информация: мы собираемся сменить ISP (чтобы снизить стоимость полосы пропускания), что уменьшит диапазон наших общедоступных IP-адресов с 25 блоков подсетей до 27 блоков подсетей. Старая установка была простой, но IP-адреса тратились зря. Теперь мне нужно быть более осторожным, и мои навыки работы в сети не совсем адекватны.
Ваш интернет-провайдер, вероятно, предоставит вам один общедоступный IP-адрес в своей сети для внешнего интерфейса вашего ASA, а затем направит ваш / 27 на этот IP-адрес. Если вам понадобится каждый IP-адрес для серверов в вашей DMZ, я бы предложил использовать частную сеть / 26 на вашем DMZ-интерфейсе, используя первый IP-адрес в качестве шлюза по умолчанию, а затем NAT верхнюю половину этой подсети для вашей общедоступной IP-пространство. Например, используя 192.168.1.0/26
ваш интерфейс ASA будет 192.168.1.1
и ваши серверы будут 192.168.1.32-192.168.1.63
Тогда вы бы статический NAT 192.168.1.32/27
к вашему публичному IP-пространству вот так
static (DMZ,outside) x.x.x.x 192.168.1.32 netmask 255.255.255.224