форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Архивированная нить - только для чтения!  Пред. тема | След. тема
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение		[Проследить за развитием треда]

"RE: DMZ без NAT. Помогите пожалуйста!"
Сообщение от Victor McSmith on 11-Мрт-03, 23:48  (MSK)
В наличии: CISCO PIX 515  тремя интерфейсами. Со внутренним все понятно, а вот с DMZ впал в ступор. Чтобы избежать проблем с DNS (так как DNS сервер тоже находится в DMZ) решил сделать в DMZ реальную адресацию. На внешнем интерфейсе у меня выделенная провайдером подсеть (С/26), из которой, в случае миграции, придется использовать 2 адреса - один на моем внешнем итерфейсе файервола, другой - на провайдерском маршрутизаторе. Остальные адреса, соответственно нужны в DMZ. А вот тут у меня начинаются проблемы... CISCO не дает назначить на два различных интерфейса адреса, находящиеся в одной подсети. Задать адрес с маской 32 она тоже не дает. А разбивать мою и так небольшую подсеть на более мелкие мне очень не хотелось бы - у меня очень мало свободных адресов чтобы еще терять на сетях и броадкастах. Какие есть выходы из ситуации? Могу ли я разбить подсеть на две неравноразмерные подсети? То есть скрипя зубами отдать 4 адреса на внешнюю сеть в виде подсети C/30 и все остальное (С/26) отдать в DMZ? Насколько я знаю (больше по опыту конфигурирования линуксовых роутеров) так поступить нельзя, точнее прописать удастся, но тогда в подсети C/26 все адреса, соответствующие адресам сетей и броадкастов для С/30, использовать будет нельзя. Так ли это на самом деле или я заблуждаюсь? Если это так, то я физически не могу пожертвовать таким гигантским количеством  IP адресов. Какие есть выходы из ситуации? Со стороны провайдера решений не ожидается - он тоже жертвовать чем-либо для  единственного хопа между его маршрутизатором и моим файерволом не хочет.
	Рекомендовать в FAQ | Cообщить модератору | Наверх

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "RE: DMZ без NAT. Помогите пожалуйста!"
Сообщение от A Clockwork Orange on 12-Мрт-03, 08:57  (MSK)
>В наличии: CISCO PIX 515  тремя интерфейсами. Со внутренним все понятно, >а вот с DMZ впал в ступор. Чтобы избежать проблем с >DNS (так как DNS сервер тоже находится в DMZ) решил сделать >в DMZ реальную адресацию. На внешнем интерфейсе у меня выделенная провайдером >подсеть (С/26), из которой, в случае миграции, придется использовать 2 адреса >- один на моем внешнем итерфейсе файервола, другой - на провайдерском >маршрутизаторе. Остальные адреса, соответственно нужны в DMZ. А вот тут у >меня начинаются проблемы... CISCO не дает назначить на два различных интерфейса >адреса, находящиеся в одной подсети. Задать адрес с маской 32 она >тоже не дает. А разбивать мою и так небольшую подсеть на >более мелкие мне очень не хотелось бы - у меня очень >мало свободных адресов чтобы еще терять на сетях и броадкастах. Какие >есть выходы из ситуации? Могу ли я разбить подсеть на две >неравноразмерные подсети? То есть скрипя зубами отдать 4 адреса на внешнюю >сеть в виде подсети C/30 и все остальное (С/26) отдать в >DMZ? Насколько я знаю (больше по опыту конфигурирования линуксовых роутеров) так >поступить нельзя, точнее прописать удастся, но тогда в подсети C/26 все >адреса, соответствующие адресам сетей и броадкастов для С/30, использовать будет нельзя. >Так ли это на самом деле или я заблуждаюсь? Если это >так, то я физически не могу пожертвовать таким гигантским количеством   >IP адресов. Какие есть выходы из ситуации? Со стороны провайдера решений >не ожидается - он тоже жертвовать чем-либо для  единственного хопа >между его маршрутизатором и моим файерволом не хочет. Возьми для линка с провайдером фейковые адреса. ОДин адрес для NAT внутренней сети. Остальное для DMZ. (хотя адрес интерфейса для DMZ может конфиликтонуть с адресом для NAT, попробуй) Или. Для линка фейковые адреса. Все реальные адреса для НАТ + статическую тарнслаяцию для DMZ.
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	2. "RE: DMZ без NAT. Помогите пожалуйста!"
	Сообщение от Volume on 12-Мрт-03, 10:24  (MSK)
	>>В наличии: CISCO PIX 515  тремя интерфейсами. Со внутренним все понятно, >>а вот с DMZ впал в ступор. Чтобы избежать проблем с >>DNS (так как DNS сервер тоже находится в DMZ) решил сделать >>в DMZ реальную адресацию. На внешнем интерфейсе у меня выделенная провайдером >>подсеть (С/26), из которой, в случае миграции, придется использовать 2 адреса >>- один на моем внешнем итерфейсе файервола, другой - на провайдерском >>маршрутизаторе. Остальные адреса, соответственно нужны в DMZ. А вот тут у >>меня начинаются проблемы... CISCO не дает назначить на два различных интерфейса >>адреса, находящиеся в одной подсети. Задать адрес с маской 32 она >>тоже не дает. А разбивать мою и так небольшую подсеть на >>более мелкие мне очень не хотелось бы - у меня очень >>мало свободных адресов чтобы еще терять на сетях и броадкастах. Какие >>есть выходы из ситуации? Могу ли я разбить подсеть на две >>неравноразмерные подсети? То есть скрипя зубами отдать 4 адреса на внешнюю >>сеть в виде подсети C/30 и все остальное (С/26) отдать в >>DMZ? Насколько я знаю (больше по опыту конфигурирования линуксовых роутеров) так >>поступить нельзя, точнее прописать удастся, но тогда в подсети C/26 все >>адреса, соответствующие адресам сетей и броадкастов для С/30, использовать будет нельзя. >>Так ли это на самом деле или я заблуждаюсь? Если это >>так, то я физически не могу пожертвовать таким гигантским количеством   >>IP адресов. Какие есть выходы из ситуации? Со стороны провайдера решений >>не ожидается - он тоже жертвовать чем-либо для  единственного хопа >>между его маршрутизатором и моим файерволом не хочет. > > >Возьми для линка с провайдером фейковые адреса. >ОДин адрес для NAT внутренней сети. Остальное для DMZ. (хотя адрес интерфейса >для DMZ может конфиликтонуть с адресом для NAT, попробуй) > >Или. Для линка фейковые адреса. >Все реальные адреса для НАТ + статическую тарнслаяцию для DMZ. не надо извращаться на циско.ком полно примеров как это сделать
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	4. "RE: DMZ без NAT. Помогите пожалуйста!"
	Сообщение от Victor McSmith on 12-Мрт-03, 14:10  (MSK)
	>>Возьми для линка с провайдером фейковые адреса. >>ОДин адрес для NAT внутренней сети. Остальное для DMZ. (хотя адрес интерфейса >>для DMZ может конфиликтонуть с адресом для NAT, попробуй) >> >>Или. Для линка фейковые адреса. >>Все реальные адреса для НАТ + статическую тарнслаяцию для DMZ. > >не надо извращаться >на циско.ком полно примеров как это сделать А можно ссылку на такой пример? Я натыкался только на то, что и так есть в моей документации, а там описываются варианты лишь с чистыми подсетями на разных интерфейсах.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	3. "RE: DMZ без NAT. Помогите пожалуйста!"
	Сообщение от Victor McSmith on 12-Мрт-03, 14:06  (MSK)
	>>Могу ли я разбить подсеть на две >>неравноразмерные подсети? То есть скрипя зубами отдать 4 адреса на внешнюю >>сеть в виде подсети C/30 и все остальное (С/26) отдать в >>DMZ? Насколько я знаю (больше по опыту конфигурирования линуксовых роутеров) так >>поступить нельзя, точнее прописать удастся, но тогда в подсети C/26 все >>адреса, соответствующие адресам сетей и броадкастов для С/30, использовать будет нельзя. >>Так ли это на самом деле или я заблуждаюсь? А всеже в теории... прав ли я на счет разделения сети на неравные подсети? > > >Возьми для линка с провайдером фейковые адреса. >ОДин адрес для NAT внутренней сети. Остальное для DMZ. (хотя адрес интерфейса >для DMZ может конфиликтонуть с адресом для NAT, попробуй) > >Или. Для линка фейковые адреса. >Все реальные адреса для НАТ + статическую тарнслаяцию для DMZ. Если я правильно понял, то это как раз та ситуация, которой я хочу избежать. Иначе все запросы к ДНС внутри DMZ пойдут через файервол, что создаст на нем излишнюю нагрузку. Плюс - использование пары фейковых адресов на внешнем интерфейсе очень все усложнит, так как потребует совместных действий с провайдером, а это затянет все на очень долгий период, а главное, я потеряю маневренность.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	5. "RE: DMZ без NAT. Помогите пожалуйста!"
	Сообщение от A Clockwork Orange on 12-Мрт-03, 14:25  (MSK)
	>>>Могу ли я разбить подсеть на две >>>неравноразмерные подсети? То есть скрипя зубами отдать 4 адреса на внешнюю >>>сеть в виде подсети C/30 и все остальное (С/26) отдать в >>>DMZ? Насколько я знаю (больше по опыту конфигурирования линуксовых роутеров) так >>>поступить нельзя, точнее прописать удастся, но тогда в подсети C/26 все >>>адреса, соответствующие адресам сетей и броадкастов для С/30, использовать будет нельзя. >>>Так ли это на самом деле или я заблуждаюсь? > >А всеже в теории... прав ли я на счет разделения сети на >неравные подсети? > >> >> >>Возьми для линка с провайдером фейковые адреса. >>ОДин адрес для NAT внутренней сети. Остальное для DMZ. (хотя адрес интерфейса >>для DMZ может конфиликтонуть с адресом для NAT, попробуй) >> >>Или. Для линка фейковые адреса. >>Все реальные адреса для НАТ + статическую тарнслаяцию для DMZ. > >Если я правильно понял, то это как раз та ситуация, которой я >хочу избежать. Иначе все запросы к ДНС внутри DMZ пойдут через >файервол, что создаст на нем излишнюю нагрузку. Плюс - использование пары >фейковых адресов на внешнем интерфейсе очень все усложнит, так как потребует >совместных действий с провайдером, а это затянет все на очень долгий >период, а главное, я потеряю маневренность. Как только ты поделил сеть /26 на сеточки /27 ..., у тебя сеть /26 не существует, ты не можешь брать адреса с такой маской.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.