Cisco
如何最大限度地利用 DMZ 分配的子網塊
我是一家小型託管公司的兼職系統管理員,目前擁有 20 台不同的公共伺服器。我們有一個 27 個子網塊,最多可以提供 30 個可用的 IP 地址。我知道的就這麼多,但是如何最大限度地增加可用於 Cisco ASA (5510) 上的 DMZ 的 IP 數量?
ASA 的外部介面需要公共 IP 之一,對嗎?我可以將其餘的 IP 分配給 DMZ 介面而不進行本地化嗎?我已經閱讀了DMZ 子網:到 NAT 還是不到 NAT?提出問題並意識到選址還不錯,但我更願意在 DMZ 介面上創建一個具有公共 IP 地址的子網。我只是不明白如何在不浪費 IP 地址的情況下做到這一點……抱歉問了一個可能微不足道的問題。
更多背景資訊:我們即將切換 ISP(以降低頻寬成本),這會將我們的公共 IP 範圍從 25 個子網塊減少到 27 個子網塊。舊的設置很簡單,但浪費了 IP 地址。現在我需要更加小心,我的網路技能還不夠。
您的 ISP 可能會在他們的網路上為您的 ASA 的外部介面提供一個公共 IP,然後將您的 /27 路由到該 IP。如果您需要 DMZ 中的伺服器的每個 IP 地址,我建議在您的 DMZ 介面上使用 /26 專用網路,使用第一個 IP 作為您的預設網關,然後將該子網的上半部分 NAT 到您的公共智慧財產權空間。例如,使用
192.168.1.0/26
您的 ASA 介面192.168.1.1
,您的伺服器將是192.168.1.32-192.168.1.63
然後您將靜態 NAT
192.168.1.32/27
到您的公共 IP 空間,如下所示static (DMZ,outside) x.x.x.x 192.168.1.32 netmask 255.255.255.224