如何最大限度地利用 DMZ 分配的子網塊

我是一家小型託管公司的兼職系統管理員，目前擁有 20 台不同的公共伺服器。我們有一個 27 個子網塊，最多可以提供 30 個可用的 IP 地址。我知道的就這麼多，但是如何最大限度地增加可用於 Cisco ASA (5510) 上的 DMZ 的 IP 數量？

ASA 的外部介面需要公共 IP 之一，對嗎？我可以將其餘的 IP 分配給 DMZ 介面而不進行本地化嗎？我已經閱讀了DMZ 子網：到 NAT 還是不到 NAT？提出問題並意識到選址還不錯，但我更願意在 DMZ 介面上創建一個具有公共 IP 地址的子網。我只是不明白如何在不浪費 IP 地址的情況下做到這一點……抱歉問了一個可能微不足道的問題。

更多背景資訊：我們即將切換 ISP（以降低頻寬成本），這會將我們的公共 IP 範圍從 25 個子網塊減少到 27 個子網塊。舊的設置很簡單，但浪費了 IP 地址。現在我需要更加小心，我的網路技能還不夠。

您的 ISP 可能會在他們的網路上為您的 ASA 的外部介面提供一個公共 IP，然後將您的 /27 路由到該 IP。如果您需要 DMZ 中的伺服器的每個 IP 地址，我建議在您的 DMZ 介面上使用 /26 專用網路，使用第一個 IP 作為您的預設網關，然後將該子網的上半部分 NAT 到您的公共智慧財產權空間。例如，使用192.168.1.0/26您的 ASA 介面192.168.1.1，您的伺服器將是192.168.1.32-192.168.1.63

然後您將靜態 NAT192.168.1.32/27到您的公共 IP 空間，如下所示

static (DMZ,outside) x.x.x.x 192.168.1.32 netmask 255.255.255.224

引用自：https://serverfault.com/questions/373333