如何最大限度地利用DMZ分配的子网块

Question

我是一家小型托管公司的兼职系统管理员，目前有20个不同的公共服务器。我们有一个27个子网块，最多提供30个可用的IP地址。我知道这么多，但是我如何最大限度地利用我可以在思科ASA (5510)上使用的非军事区的I数量？

ASA的外部接口需要一个公开的IP，对吗？我是否可以将其余的I分配给DMZ接口而不进行nating？我已经阅读了DMZ子网:去NAT还是不去NAT？的问题，并意识到nating并不坏，但是我更愿意在DMZ接口上创建一个带有公共IP地址的子网。我不知道我怎么能做到这一点而不浪费IP地址..。很抱歉问了一个很小的问题。

更多的背景信息:我们即将切换ISP (以降低带宽成本)，这将减少我们的公共IP范围从一个25个子网块到27个子网块。旧的设置很简单，但浪费了IP地址。现在我需要更加小心，而且我的人际交往能力还不够。

Answer 1

您的ISP可能会为您的ASA外部接口在其网络上为您提供一个公共IP，然后将您的/27路由到该IP。如果您需要DMZ中服务器的每个IP地址，我建议在DMZ接口上使用一个/26专用网络，使用第一个IP作为默认网关，然后将该子网的上半部分用于您的公共IP空间。例如，使用192.168.1.0/26，您的ASA接口将是192.168.1.1，服务器将是192.168.1.32-192.168.1.63。

然后将NAT 192.168.1.32/27静态到您的公共IP空间，如下所示

static (DMZ,outside) x.x.x.x 192.168.1.32 netmask 255.255.255.224