用于 DMZ 的 ASA/路由器/交换机 NAT

网络工程 思科 路由 转变 思科-ASA 纳特
2022-02-08 12:43:34

我有个问题。我们实际上有一个 Cisco 1812 路由器,我们正在切换到 ASA 5512-X。问题是,ASA 5512-X 只有 6 个端口。1812,有 8 个。全部在使用中。

我们需要将 3 个公共 IP 地址转换为我们在 DMZ 中的服务器的私有 IP 地址。我们还需要其他端口。我们现在的情况是,这 3 个 IP 地址是从路由器转换而来的。但是对于 ASA,我们没有足够的端口来实现这一点。

我的问题是,我可以通过蓝色端口(在我的图片中)从 ASA 将这 3 个 IP 地址“转发”到交换机(我认为我需要第 3 层吗?!)然后交换机进行转换?

转换应该是:公共 IP A、B 或 C 从 Internet 进入 ASA,转发到交换机,然后交换机将其转换为正确的私有 IP。公共 IP A 到公共 IP B。

我在另一个论坛上问过这个问题并得到了答案,ASA 不能代替路由器。是的,这是正确的,但我们不需要太多功能。

我们有 4 个单独的子网。一个非军事区。并且三个AP具有两个不同的VLAN。就这样。你看,这就是六个端口。4 个用于我们的子网,1 个用于 WIFI(我希望我只能将一个用于 3 个 AP)和 1 个用于 DMZ。

他们还有其他解决方案吗?也许使用普通路由器?较新的,不是 1812。

这可能吗?(图片)

3个回答

回到舞台上 :) 一个不重要的小细节:根据 Cisco 的说法,2960 的一种型号支持第 3 层 - 2960XR。

谈到您可能的配置,最好有两个额外的交换机(支持 vlan,而不是哑巴)。我会使用 4 个接口:“外部”、“内部”、“DMZ”和“wifi”。

“外部”链接转到您的 ISP;

“DMZ” - 到服务器的 DMZ 交换机;

“WIFI”连接到附加的 wifi 网络开关。在这里,您定义了 2 个 wifi vlan 的子接口。在交换机侧对应的端口应该是 dot1q 中继模式。可能您也需要 WIFI AP 处于中继模式。

“内部”转到第二个附加交换机,它连接您的内部子网;在此处为子网定义子接口并将交换机的端口置于中继模式。

这种配置的一个示例(唉,没有交换机):https ://www.speaknetworks.com/cisco-asa-dmz-configuration-example/

事实上,您也可以使用旧路由器将服务器连接到交换机来实施解决方案。我的意思是,您可以将交换机连接到路由器的一个端口,有 2 个空闲端口,服务器通过交换机连接。我希望您同意 NAT 的需要并不意味着每个经过 NAT 的设备都必须使用路由器/ASA 上的单独端口?

因此,IMO 进行 NAT 的地方应该是 ASA,而您的交换机可能是第 2 层。

将一个 ASA 的端口放入您的 DMZ,为其提供适当的安全级别,将交换机连接到那里,告诉服务器使用 ASA 的 DMZ 端口作为网关,您就完成了。哦,当然,NAT 规则 - 对 ASDM 来说并不难。

我认为,您的其余配置也可以进行一些优化(在使用 ASA 端口的部分),但让我们停在这里。

首先,在您的图片中,您展示了一个 2960 交换机,我不知道任何 2960 是第 3 层,它们都是第 2 层。

您可以使用 2960 第 2 层交换机来满足您的所有需求。在 ASA 上,所有内部网络都可以使用带有 VLAN 的子接口共享一个端口。您将交换机设置为具有适当允许 VLAN 的中继端口,然后您可以在交换机上分配适当的端口以访问适当的 VLAN。

其它你可能感兴趣的问题
上一篇四个路由器一个网关地址,可以吗?(思科) 下一篇Cisco ASA 5512 (OS 9.1(1)) HA 故障切换问题