路由器到防火墙到单一公共IP的内部网络NAT

为了更多地了解网络，我选择了一些旧的思科设备供家庭使用。我有一个2811路由器，一个PIX 515e防火墙和一个交换机（不记得该型号）。我的传入连接是具有单个静态IP地址的DSL线路。

这就是我想要网络完成时的样子：

[Internet -> 2811 -> PIX -> switch]

我的问题是，我是否需要为路由器到PIX连接和PIX到交换机连接使用不同的子网？例如：

Router external: <public static IP>
Router internal: 10.0.0.1

PIX external: 10.0.0.2
PIX internal: 192.168.0.1

或者我可以将所有内容放在同一子网上吗？

Router external: <public static IP>
Router internal: 10.0.0.1

PIX external: 10.0.0.2
PIX internal: 10.0.0.3

我相信如果我使用不同的子网，那么我必须在路由器和PIX上使用NAT，因为我只有一个公共IP地址可以使用，对吗？如果PIX位于不同的子网上，则PIX无法从其内部网络路由到外部网络。我已经看到一些对此的引用是“双NAT”，这显然是不好的。

但是，如果我将所有内容放在同一个子网上，那么我将默认网关设置为所有内部客户端？我认为它必须是路由器的内部IP。但我不知道交换机是否能够在防火墙的另一侧找到路由器。

那么在这种情况下你会做什么？ 希望这对你们来说很简单。 :-)

快速回答： 典型的家庭连接只有一个IP地址，您必须将PIX直接连接到DSL，并将此单个IP地址分配给其WAN接口，并将路由器放在某个地方的架子上。这是典型ISP支持标准DSL家庭连接的唯一方案。

Internet -> PIX -> switch

PIX external: <public static IP>
PIX internal: 192.168.0.1

更多解释性答案： 为了能够在ISP和PIX之间使用路由器，您必须在路由器和PIX之间使用的子网分配给您并路由 由ISP提供 。您无法选择自己的子网并将其放在那里，因为来自内部网络的流量似乎来自PIX外部接口，并且必须在Internet上的路由系统中知道该地址才能找到回溯给您的路径。

让我们暂时说你的ISP同意为你分配一个子网，你想要使用的场景将会工作，而且，如果子网足够大以覆盖内部的所有设备，你可以将PIX从路由模式更改为透明模式。然后就可以在PIX的两侧使用相同的子网。

对你来说，一个更好的选择是将路由器放在PIX中，并在那里设置多个子网，并在PIX和路由器之间做各种奇特的路由协议和VLAN场景（如果有的话，还有交换机）一个支持VLAN）。我强烈建议你做练习，因为它会让你有更多的东西......

我希望这是有帮助的... ：）

是的，您需要PIX上的内部和外部网络使用不同的子网。但是，PIX和2811之间的网络可能很小，它只需要两个可寻址的IP，因此你可以使用/ 30 10.0.0.0/30（尽管在你的场景中你很多人不关心保存地址所以a / 24会没事的）。

在这种情况下，双NAT不适用，因为它指的是对数据包的源IP和目标IP进行nat，并且通常发生在连接的近端和远端。

你只是两次出没，这很好。在PIX软件的更高版本中，您可以通过将接口设置为相同的安全级别和/或禁用nat控制来关闭接口之间的NAT要求。