Доброго времени суток всем.
Помогите разобраться с адресацией при установке PIX'a. Ситуация простейшая (но и я новичок). Есть сеть х.х.х.0 - х.х.х.63, соответственно адрес интерфейса граничного роутера х.х.х.1. Насколько я понимаю outside интерфейс пикса должен иметь адрес из этой же подсети. Теперь собственно вопрос. Возможно ли не используюя NAT (не меняя настройки ПК во внутренней сети) и не переделывая адрес интерфейса граничного роутера установить PIX?Прошу прощения за сумбурность изложения.
>Доброго времени суток всем.
>Помогите разобраться с адресацией при установке PIX'a. Ситуация простейшая (но и я
>новичок). Есть сеть х.х.х.0 - х.х.х.63, соответственно адрес интерфейса граничного роутера
>х.х.х.1. Насколько я понимаю outside интерфейс пикса должен иметь адрес из
>этой же подсети. Теперь собственно вопрос. Возможно ли не используюя NAT
>(не меняя настройки ПК во внутренней сети) и не переделывая адрес
>интерфейса граничного роутера установить PIX?А у тебя IP сети внутренней не фиктивные? Без NAT можно, но зачем?
Может все-таки с NAT лучше будет (ведь есть еще и STATIC), но также
есть и NAT 0. Поподробнее опиши ситуацию.>Прошу прощения за сумбурность изложения.
Бывает.....
>Доброго времени суток всем.
>Помогите разобраться с адресацией при установке PIX'a. Ситуация простейшая (но и я
>новичок). Есть сеть х.х.х.0 - х.х.х.63, соответственно адрес интерфейса граничного роутера
>х.х.х.1. Насколько я понимаю outside интерфейс пикса должен иметь адрес из
>этой же подсети. Теперь собственно вопрос. Возможно ли не используюя NAT
>(не меняя настройки ПК во внутренней сети) и не переделывая адрес
>интерфейса граничного роутера установить PIX?А у тебя IP сети внутренней не фиктивные? Без NAT можно, но зачем?
Может все-таки с NAT лучше будет (ведь есть еще и STATIC), но также
есть и NAT 0. Поподробнее опиши ситуацию.>Прошу прощения за сумбурность изложения.
>Доброго времени суток всем.
>Помогите разобраться с адресацией при установке PIX'a. Ситуация простейшая (но и я
>новичок). Есть сеть х.х.х.0 - х.х.х.63, соответственно адрес интерфейса граничного роутера
>х.х.х.1. Насколько я понимаю outside интерфейс пикса должен иметь адрес из
>этой же подсети. Теперь собственно вопрос. Возможно ли не используюя NAT
>(не меняя настройки ПК во внутренней сети) и не переделывая адрес
>интерфейса граничного роутера установить PIX?А у тебя IP сети внутренней не фиктивные? Без NAT можно, но зачем?
Может все-таки с NAT лучше будет (ведь есть еще и STATIC), но также
есть и NAT 0. Поподробнее опиши ситуацию.>Прошу прощения за сумбурность изложения.
Бывает.....
>А у тебя IP сети внутренней не фиктивные? Без NAT можно, но
>зачем?Не, не фиктивные, реальные, выданные провайдером.
>Может все-таки с NAT лучше будет (ведь есть еще и STATIC), но
>также
>есть и NAT 0. Поподробнее опиши ситуацию.NAT 0, STATIC - это вроде понятно, не понятно другое.
Ситуация которая есть сейчас:
граничный роутер с адресом интерфейса смотрящего на меня х.х.х.1 (соответственно он является default gateway для компов в сети). И все радостно ходят в инет.Что нужно:
Поставить между свичом (на котором сидит внетренняя сеть) и граничным роутером PIX.Соответственно решение:
outside PIX int - x.x.x.2
inside PIX int - непонятно какой (основной вопрос - какой ip назначить внутреннему интерфейсу для того, чтобы не менять адреса ПК внутренней сети), адрес из пула х.х.х.х он поставить соответственно не дает.
Нет идей?
>Нет идей?
Есть конечно:Как насчет: гранич. роутер провайдера - это шлюз по умолчанию для outside PIX, далее на внутр. интерфейс садишь свою сеть и делаешь на ней фиктивные адреса (внутр. нитерфейс PIX тоже с фиктивным адресом). Настраиваешь NAT, используя global (outside) внешние динамич. IP (т.е. пул) и используя static (inside,outside) outIP insIP для статической трансляции (обычно для серверов всяких). Для лок. сети шлюзом будет являться внутр. IP на PIX. Дальше все правила на Access-list пишешь и наслаждаешься. Поверь, так лучше получается. Это я тебе по своему опыту говорю. У меня такая же ситуация была.
Спасибо за ответ. Так и буду делать. В общем-то такая схема напрашивалась, просто интересно было можно ли сделать такую схему с NAT 0 для всех внутренних адресов при этом не изменяя настроек граничного роутера. Видимо нет.
>Спасибо за ответ. Так и буду делать. В общем-то такая схема напрашивалась,
>просто интересно было можно ли сделать такую схему с NAT 0
>для всех внутренних адресов при этом не изменяя настроек граничного роутера.
>Видимо нет.Неправда твоя, NAT 0 как раз позволяет провернуть такую фигню - все IP локальной сети - реальные. Только вот со шлюзом проблемы могли быть, хотя по идее в этом случае шлюз=IP граничного роутера. Если что могу даже конфиг кинуть. Кстати у тебя PIX какой серии и со сколькими интерфейсами?
>Неправда твоя, NAT 0 как раз позволяет провернуть такую фигню - все
>IP локальной сети - реальные. Только вот со шлюзом проблемы могли
>быть, хотя по идее в этом случае шлюз=IP граничного роутера. Если
>что могу даже конфиг кинуть.
А какой же адрес будет у inside интерфейса PIX???>Кстати у тебя PIX какой серии
>и со сколькими интерфейсами?515 с 6-ю интерфейсами, просто пока иду путем усложнения задачи :-)), надо на простых вещах потренироваться и не на рабочей сети, а то яйцы открутют :-)). Запланированная схема внедрения подразумевает еще несколько железяк и несколько сетей будет идти через PIX, пока с ходу стремно внедрять их на работающую сеть, вот и придумал себе маленькие этапы (baby steps :-))))
>А какой же адрес будет у inside интерфейса PIX???ну смотря как делать будешь: если NAT, то любой фиктивный ну например 192.168.0.1 и этот адрес будет шлюзом для локальной сети, а если с NAT 0 то там сам смотри что и как.