我是一个小型托pipe公司的兼职系统pipe理员,目前有20个不同的公共服务器。 我们有一个27个子网块,它给了我们最多30个可用的IP地址。 我知道的很多,但是如何最大限度地增加可用于Cisco ASA(5510)上的DMZ的IP数?
ASA的外部接口需要公共IP之一,对吗? 我可以将其余的IP分配给DMZ接口吗? 我已经读了DMZ子网:去NAT或不去NAT? 问题,并意识到nating并不坏,但我更愿意在DMZ接口上创build一个具有公共IP地址的子网。 我只是不知道如何才能做到这一点,而不浪费IP地址…对不起,问一个可能微不足道的问题。
更多背景信息:我们即将切换ISP(以降低带宽成本),这将使我们的公共IP范围从25个子网块减less到27个子网块。 旧的设置很简单,但浪费IP地址。 现在我需要更加小心,而且我的networking技能还不够。
您的ISP可能会在您的networking上为您的ASA的外部接口提供一个公共IP,然后将您的/ 27路由到该IP。 如果你需要DMZ中的服务器的每一个IP地址,我build议你在你的DMZ接口上使用一个/ 26专用networking,使用第一个IP作为你的默认网关,然后把这个子网的上半部分NAT给你的公众IP空间。 例如,使用192.168.1.0/26你的ASA接口是192.168.1.1 ,你的服务器是192.168.1.32-192.168.1.63
然后你会像这样静态NAT 192.168.1.32/27到你的公共IP空间
static (DMZ,outside) xxxx 192.168.1.32 netmask 255.255.255.224