CiscoForums.it

Non ho bene chiare quali sono le differenze tra le sopracitate interfacce.

Per quanto riguarda le subinterfaces credo si usino solo per configurare le VLAN, corretto ?

Non mi è chiaro lo scopo delle interfacce di loopback e il loro uso.

Stesso cosa per i -secondary ip address-. Ignoro il loro utilizzo principale.
Posso solo pensare che, per esempio, possano venire utili per assegnare più undirizzi ad una interfaccia pubblica e poi eseguire un NAT statico verso una DMZ. Ma è solo un'ipotesi......

gli ip secondary permettono (ad esempio) di raggiungere il router da due sottoreti diverse.... e questa è una gran bella cosa....

Una loopback è un'interfaccia virtuale sempre attiva, finchè l'ultima interfaccia fisica di un router sarà in piedi la loopback sarà raggiungibile e sempre UP/UP. Quest'ultima qualità è ideale per terminare protocolli di routing in quanto al fallimento del fisico, un'altra strada garantisce il raggiungimento e non si perdono le adiacenze.


Il secondary IP è semplicemente un altro indirizzo IP configurabile su un interfaccia, a volte capita ne servano due in produzione o durante una migrazione.


Le subinterfaces sono interfacce logiche legate ad un fisico, sul fisico sono configurati i parametri layer1/2 abitualmente mentre sul logico vengono configurati protocolli, autenticazioni e parametri vari.

Ok, nel caso volessi creare una DMZ con subnet per esempio 10.0.0.0/24 a cui devo ridirigere le connessioni esterne dirette a 8 indirizzi pubblici (Mail Server, WWW, etc) come faccio ?

MI pare si debba usare il NAT statico, il quale mappa indirizzo privato su indirizzo pubblico e viceversa.

Ma mi sorge il dubbio con quale indirizzo IP debba configurare l'interfaccia del router verso il mondo esterno.
Gli assegno gli 8 indirizzi IP pubblici tramite i secondary Ip address ???

Su quale apparato devi fare la dmz?

Ho a disposizione un Asa 5505 e un 2801 con 4 eth.

E' possibile configurarla su entrambi credo (ovviamente non nello stessa realtà aziendale)

Attento che l' Asa 5505 ha dei limiti per la terza interfaccia e quindi la dmz...
Hai la licenza plus spero!

Wizard ha scritto:Attento che l' Asa 5505 ha dei limiti per la terza interfaccia e quindi la dmz...
Hai la licenza plus spero!

Ho questa licenza: ASA5505-SSL10-K9

Ma supponiamo dovessi implementarlo con il 2801, all'Asa ci penso dopo

Sul 2800 crei una vlan e la assegni ad una porta...
Dietro a quella vlan ci metti un bel switch con tutti i server collegati.
Applichi poi degli access-group su ogni interfaccia per regolare il traffico.

Facile no...?!

Ok ma i dubbi li ho più su come configurare l'interfaccia esterna del router.
Le devo assegnare tutti gli 8 indirizzi IP pubblici a disposizione per poi dirigerli tramite NAT statico sui relativi 8 IP privati della DMZ ??

Gli 8 IP pubblici li gestisci in questo modo:

- IP della punto-punto sulla atm0.1 o serial 0.1
- Crei una int loopback e gli assegni un ip pubbligo usabile
- Gestisci con dei nat statici le pubblicazioni dei server in dmz

Ops scusa, mi sono dimenticato di dire che il provider mi fornisce la subnet di 8 ip direttamente tramite interfaccia ethernet (tramite cisco 1700).

allora vai solo di nat statici

Wizard ha scritto:allora vai solo di nat statici

scusami ma mi manca ancora un pezzo. Che ip devo assegnare all'interfaccia esterna ? 1oppure 8 ? E con quale tecnica ?

In teoria quello che ti pare basta che sia nella subnet...
In pratica ti consiglio o il primo o l'ultimo utilizzabile!