|
| en firewall flere subnets Fra : Jimmy |
Dato : 02-06-04 09:47 |
|
Hej
Kan man dele flere subnet på samme firewall med en TDC ADSL løsning. Normalt
foregår det jo sådan her:
ADSL modem->Firewall->workstations
Firewallen får en ip fra leverandøren, og workstations får via DHCP tildelt
adresser på netværket 192.168.1.0/24
ip adresser fra 192.168.1.1-192.168.1.254
netmaske 255.255.255.0
Men hvad nu hvis jeg har 2 subnet, f.eks.
subnet 1:
ip adresser 192.168.1.1-192.168.1.126
netmaske 255.255.255.128
subnet 2:
ip adresser 192.168.1.129-192.168.1.254
netmaske 255.255.255.128
eller
Subnet 1:
ip adresser 192.168.1.1-192.168.1.254
net maske 255.255.255.0
Subnet 2:
ip adresser 192.168.2.1-192.168.2.254
netmaske 255.255.255.0
For det første tror jeg kun at firewallens (Zywall 2) kan tildele ip
adresser til 1 subnet, så jeg formoder at jeg bliver nødt til at køre med
statiske ip adresser på det andet subnet, right?
For det andet tvivler jeg på at det andet subnet overhovedet kan komme på
nettet via firewallen. Da firewallen jo højst sandsynligt vil have adressen
192.168.1.1. Det betyder at alt hvad der kører på Subnet 1 i begge eksempler
vil kunne komme på nettet, og resten kan ikke komme på nettet.
Har jeg ret i disse antagelser?
Hvordan løser jeg problemet, hvis jeg nu ønsker at køre med 2 subnet?
--
Jimmy
| |
Asbjorn Hojmark (02-06-2004)
| Kommentar Fra : Asbjorn Hojmark |
Dato : 02-06-04 10:21 |
|
On Wed, 2 Jun 2004 10:46:49 +0200, "Jimmy"
<pleasereplyingroup@hotmail.com> wrote:
> Men hvad nu hvis jeg har 2 subnet, f.eks.
> subnet 1:
> ip adresser 192.168.1.1-192.168.1.126
> netmaske 255.255.255.128
> subnet 2:
> ip adresser 192.168.1.129-192.168.1.254
> netmaske 255.255.255.128
Det afhænger af, hvad det er for noget udstyr. Jeg ved ikke, om
ZyWALL kan, men jeg gætter på nej.
> Har jeg ret i disse antagelser?
Ikke nødvendigvis.
> Hvordan løser jeg problemet, hvis jeg nu ønsker at køre med 2 subnet?
Hvis din router/firewall kan køre med sekundære adresser, så er
det en løsningsmodel.
-A
| |
Jimmy (02-06-2004)
| Kommentar Fra : Jimmy |
Dato : 02-06-04 11:44 |
|
"Asbjorn Hojmark" <Asbjorn@Hojmark.ORG> skrev i en meddelelse
news:ps6rb0903egtlpeijh4s45i5udff24l89m@news.sunsite.dk...
> On Wed, 2 Jun 2004 10:46:49 +0200, "Jimmy"
> <pleasereplyingroup@hotmail.com> wrote:
>
> > Men hvad nu hvis jeg har 2 subnet, f.eks.
> > subnet 1:
> > ip adresser 192.168.1.1-192.168.1.126
> > netmaske 255.255.255.128
> > subnet 2:
> > ip adresser 192.168.1.129-192.168.1.254
> > netmaske 255.255.255.128
>
> Det afhænger af, hvad det er for noget udstyr. Jeg ved ikke, om
> ZyWALL kan, men jeg gætter på nej.
>
> > Har jeg ret i disse antagelser?
>
> Ikke nødvendigvis.
>
> > Hvordan løser jeg problemet, hvis jeg nu ønsker at køre med 2 subnet?
>
> Hvis din router/firewall kan køre med sekundære adresser, så er
> det en løsningsmodel.
Perfekt, så jeg skal have fundet en router/firewall der understøtter
sekundære adresser. Er det ikke lidt ligesom en slags managed switch eller
noget i den stil?
Der er 2 ting jeg skal bruge. Den ene ting er at jeg skal have begge subnet
bag helst samme router/firewall (eks. Zywall, men det kan blive en anden
hvis det er nødvendigt. Det der er vigtigt er blot at det er samme ADSL
linie). Den anden ting er at jeg skal sikre mig at workstations på det ene
subnet ikke har adgang til det andet. Det har det selvfølgelig ikke pr.
default, men hvis nu en fiks bruger ændrer subnettet manuelt på computeren,
således at han kører på det andet subnet, så har jeg balladen, og brugeren
har adgang til de delte ressourcer på det subnet som ikke tilhører ham.
Vil jeg få løst mine problemer med en firewall/router der understøtter
sekundære adresser, eller vil det blot skabe nye problemer/udfordringer?
Indtil videre tak for svaret :)
Jimmy
| |
Asbjorn Hojmark (02-06-2004)
| Kommentar Fra : Asbjorn Hojmark |
Dato : 02-06-04 21:34 |
|
On Wed, 2 Jun 2004 12:43:37 +0200, "Jimmy"
<pleasereplyingroup@hotmail.com> wrote:
>> > Hvordan løser jeg problemet, hvis jeg nu ønsker at køre med 2 subnet?
>> Hvis din router/firewall kan køre med sekundære adresser, så er
>> det en løsningsmodel.
> Perfekt, så jeg skal have fundet en router/firewall der understøtter
> sekundære adresser.
Der gør fx alle Ciscos IOS-routere (inkl. de små SOHO-routerne og
800-serien).
> Der er 2 ting jeg skal bruge. Den ene ting er at jeg skal have begge
> subnet bag helst samme router/firewall
Den del er ikke et problem.
> Den anden ting er at jeg skal sikre mig at workstations på det ene
> subnet ikke har adgang til det andet.
Det kan du i praksis ikke opnå, hvis de to subnet befinder sig på
det samme broadcast-medie. Hvis det er et krav/ønske, skal du
have flere fysiske interfaces eller support for VLAN trunking på
indersiden.
I så fald skal du se på en lidt større router eller firewall.
-A
--
Heroes: Vint Cerf & Bob Kahn, Leonard Kleinrock, Robert Metcalfe, Jon Postel
Links : http://www.hojmark.net/
FAQ : http://www.net-faq.dk/
| |
Brian R. Jensen (02-06-2004)
| Kommentar Fra : Brian R. Jensen |
Dato : 02-06-04 17:25 |
|
"Jimmy" <pleasereplyingroup@hotmail.com> skrev i en meddelelse
news:40bd9407$0$134$edfadb0f@dread11.news.tele.dk...
> For det første tror jeg kun at firewallens (Zywall 2) kan tildele ip
> adresser til 1 subnet, så jeg formoder at jeg bliver nødt til at køre med
> statiske ip adresser på det andet subnet, right?
Korrekt
> For det andet tvivler jeg på at det andet subnet overhovedet kan komme på
> nettet via firewallen. Da firewallen jo højst sandsynligt vil have
adressen
> 192.168.1.1. Det betyder at alt hvad der kører på Subnet 1 i begge
eksempler
> vil kunne komme på nettet, og resten kan ikke komme på nettet.
>
> Har jeg ret i disse antagelser?
>
> Hvordan løser jeg problemet, hvis jeg nu ønsker at køre med 2 subnet?
Jeg vil tro at ip-alias kan klare det, men jeg har ikke prøvet det.
HTH
/Brian
| |
|
|