我使用一个公共静态IP(我的路由器的NAT地址)和一个/ 29子网(路由器后面的机器)来连接networking。
在我的路由器上,我有:
#sh ip route | inc xx xx0.0/16 is variably subnetted, 3 subnets, 2 masks C xx196.62/32 is directly connected, Dialer1 C xx206.72/29 is directly connected, BVI2 #sh run int dial 1 | inc zone zone-member security out-zone #sh run int bvi 2 | inc zone zone-member security in-zone 区域对是相当严格的。 我想放松首先通过远程访问VPN连接的客户端的限制:
#sh run int virtual-template 1 zone-member security relaxed-zone
现在通过VPN连接的客户端必须分配一个私有IP地址。 (我没有把公共地址分配给客户,对吧?):
# sh ip local pool Pool Begin End Free In use Blocked RANET100 192.168.100.230 192.168.100.250 20 1 0
所以现在如果我想从192.168.100.230得到一个xy206.73的数据包,那很好 – 路由器有它需要的信息。 但这意味着主机xy206.73将不得不允许来自私有地址的公共范围的IP地址的stream量…通常将其configuration为忽略的东西!
所以这是一个肮脏的黑客,对不对? 什么是True Path(TM)? 我应该多宿主与公有IP地址,以便他们也有一个私人的IP地址?
有这个设置是完全合理的。 考虑它:
您的“内部networking”由多个networking组成:
你的公共主机不关心它从RFC1918地址获得连接,除非你这样configuration。 只要让它发生。
不需要configuration另一个IP。
“但这意味着主机xy206.73将不得不允许来自私人地址的公共范围的IP地址的stream量”
不,它不会,这意味着一个主机会有两个IP地址,这个IP地址恰好与整个Internet有不同的路由期望。
没有理由不在一个接口上放置多个IP地址; 这是完全可能的,事实上,IPv6是非常普遍的。 只要确保传出连接的地址select规则使用正确的地址进行正确的任务即可。