Subnetting - offentligt ip-range

hvis vi nu siger at du har fået tildelt 87.62.1.0 subnetmask 255.255.255.240
så har du
IP            Mask            Notes ...
87.62.1.0    255.255.255.240    Subnet Address (netværksnavnet)
87.62.1.1    255.255.255.240   
87.62.1.2    255.255.255.240   
87.62.1.3    255.255.255.240   
87.62.1.4    255.255.255.240   
87.62.1.5    255.255.255.240   
87.62.1.6    255.255.255.240   
87.62.1.7    255.255.255.240   
87.62.1.8    255.255.255.240   
87.62.1.9    255.255.255.240   
87.62.1.10    255.255.255.240   
87.62.1.11    255.255.255.240   
87.62.1.12    255.255.255.240   
87.62.1.13    255.255.255.240   
87.62.1.14    255.255.255.240   
87.62.1.15    255.255.255.240    Broadcast Address
dvs 14 brugbare adresser

hvis du deler det i to (subnetmask 255.255.255.248) får du

IP            Mask              Notes ...
87.62.1.0    255.255.255.248    Subnet Address (netværksnavnet)
87.62.1.1    255.255.255.248   
87.62.1.2    255.255.255.248   
87.62.1.3    255.255.255.248   
87.62.1.4    255.255.255.248   
87.62.1.5    255.255.255.248   
87.62.1.6    255.255.255.248   
87.62.1.7    255.255.255.248    Broadcast Address

og

IP            Mask          Notes ...
87.62.1.8    255.255.255.248    Subnet Address (netværksnavnet)
87.62.1.9    255.255.255.248   
87.62.1.10    255.255.255.248   
87.62.1.11    255.255.255.248   
87.62.1.12    255.255.255.248   
87.62.1.13    255.255.255.248   
87.62.1.14    255.255.255.248   
87.62.1.15    255.255.255.248    Broadcast Address

=2 X 6 brugbare adresser


men forstår ikke helt hvorfor du vil dele dine adresser i to

men tag og hent denne subnetcalculateor. den er gratis og kan være til en stor hjælp
http://www.solarwinds.com/products/freetools/free_subnet_calculator.aspx

Jeg har fx. adresserne 87.62.128.112 - 87.62.128.128
Jeg er med på det med subnetmasken på 255.255.255.248, men jeg ved så ikke hvordan jeg finder ud af hvilke adresser der er på hvilket subnet.

Og desuden, hvilken subnetmaske skal jeg specificere på de enkelte netværksenheder?

Jeg skal subnette pga., at jeg har en hardware-firewall, som gerne vha. en statisk rute, skal forwarde/route trafikken fra Internet ned til min ISA server.

Som jeg ser det, skal min hardware firewall dermed have én ip fra det samlede range, mens min ISA skal have én anden fra det samlede range - dog skal disse to ikke være på det samme subnet, da der ellers ikke kan laves en static route mellem hardware firewall'en og ISA'en.

ok, 87.62.128.112 subnet 255.255.255.240 giver dig adresserne 87.62.128.112 -> 87.62.128.128


og 87.62.128.112 subnet 255.255.255.248 giver dig adresserne 87.62.128.112 -> 87.62.128.119 + 87.62.128.120 -> 87.62.128.128

husk at første ip adresse i et subnet ikke kan bruges. det er 'navnet' på netværket
og sidste ip adresse er broadcast adressen

men forstår stadig ikke helt, din isa server, den får jo en af disse adresser som er offentlig, så hvorfor skal du forwarde noget ? måske mig der er dum, men den kan jo tilgås direkte ude fra nettet via sin offentlige ip

Hvis jeg har forstået dit spørgsmål korrekt, så ville du typisk skulle bruge tre subnets,

Et subnet hvor din "edge firewall" kan snakke sammen med din ISP.
Dette subnet vil typisk være et 255.255.255.252 (/30) scope, som giver 4 addresser - 1x netværk, 2x hosts og 1x broadcast.
Din ISP ville skulle bruge den ene host, og din "edge firewall's" WAN interface skulle bruge den anden.

Et subnet hvor din "edge firewall" kan snakke sammen med din ISA.
Dette subnet vil typisk være et 255.255.255.252 (/30) scope, som giver 4 addresser - 1x netværk, 2x hosts og 1x broadcast.
Din "edge firewall's" LAN interface skulle bruge den ene, og din ISA's "WAN" interface skulle bruge den anden.

Et subnet, som du kan route via ISA (Som har plads til de IP addresser du nu skal benytte).
Dette subnet skal så befinde sig på din ISA's "LAN" interface.

Du har sikkert allerede et separat subnet mellem din ISP og din "edge firewall", så dette vil vi ikke tænke på.

Men din ISP ville så sørge for at route alle dine adresser til din "edge firewall", hvor du så ville skulle sætte op til at route videre til din ISA :)

Det ville være dumt at dele dit subnet op i to blokke, da du så vil miste 4 host addresser i det subnet som du ville benytte mellem din "edge firewall" og din ISA.
Et forslag, kunne være at indkøbe 4 ekstra ip-adresser (et /30 scope) til brug mellem din "edge firewall" og din ISA.

Håber du forstår :)

/Det skulle vel aldrig være dig der har oprettet http://ciscoforum.dk/forum/forum_posts.asp?TID=161&PN=1 ? :)

Tak for din hjælp. Jeg kigger på det og ser om det spiller :-)
Jeg skal heller ikke forwarde noget til min ISA. Men der skal routes til den fra Cisco firewall'en. På den måde kan jeg tvinge indgående trafik gennem ISA'en.
Det er i hvert fald den tanke jeg har, men hvis du ved noget jeg ikke ved må du da gerne råbe højt :-)

Men planen er altså, at der skal lave en static route i Cisco'en til ISA og ISA'en får så Cisco som default gateway. På denne måde SKAL alt trafik fra alle netværk gennem ISA'en.

ISA'en har 3 netkort. Den adskiller et LAN og et DMZ-netværk og Internet.

Smider du lige et svar?

Hmm, du vil ikke forwarde trafik men godt route til ISA?
Den skal jeg lige have igen :)

For at route trafiken, bliver du nød til at placere din ASA og din ISA på to forskellige subnets, det bedste er selvfølgelig at benytte et /30 subnet som skrevet tidligere, da du så ikke vil få tab af ip-adresser = tab af penge :)

ISP <-> ASA <-> ISA - <-> HOSTS

Det er fordi at du vil benytte ASA'en som Front-End (edge) firewall, og din ISA som back-end firewall.

Dog, du kan jo prøve at route pr. interface og ikke pr. IP, så ledes at den ønskede trafik (til isa'en) bliver routet udgennem et interface istedet for en IP adresse, men om det vil virke ved jeg ikke.

sameaim: Ja, undskyld hvis jeg får forklaret mig tåbeligt og det er formentlig også det jeg har fået gjort inde på ciscoforum.dk :-)
Som jeg har skrevet tidligere, netop derinde, så er jeg ikke den største subnetting-haj, men det interesserer mig og jeg vil meget gerne lære det og få opbygget noget solid sikkerhed.

Grunden til at jeg overhovedet begynder at snakke subnetting, er at jeg ikke kunne finde andre udveje for at få løst mit mål.
Jeg havde indset, at det ville koste host-adresser hvis jeg skulle subnette, men jeg ville på den anden side lave noget, hvor der som skrevet tidligere ikke var en vej udenom :)

Jeg har pt. 3 servere, der skal kunne tilgås fra nettet og derfor vil det ikke på nuværende tidspunkt være et problem, men jeg kan da sagtens se din pointe og det vil jo være spild i den anden ende - altså på ASA'ens interne interface, hvor der reelt kun skal beuges én adreese fra det ene subnet.

Men jeg er super-glad for at jeg tilsyneladende har fået hul igennem til nogle, der ved hvad de snakker om.
Jeg vil derfor med reference til mine tidligere indlæg på Ciscoforum og denne tråd selvfølgelig, spørge forfra igen.

Hvis jeg skal have den mest optimale løsning med:
- En ASA (edge firewall)
- En ISA server 2004
- Et DMZ netværk med offentlige servere, hvor DMZ netværket er defineret på ISA og ikke ASA.
- En håndfuld offentlige ip-adresser

Hvad vil du/i så anbefale?
Jeg vil jo helst udenom endnu et subnet offentlige adresser da det koster kr., men hvis det er det der løser problemerne på den bedste måde er det jo det jeg gør.
Men alternativt kan det andet vel også fungere - selvom du skriver det er frås af ip-adresserne?

Læg forøvrigt lige et svar cool_m_f så i begge får point for jeres hjælp :-)

Du ville godt kunne bruge løsningen, med at subnette - det vil bare kræve at den dag du får brug for de ekstra IP adresser, at du så skal til at købe 4 nye ip adresser, og så skal til at slå dit subnet sammen til et stort igen, istedet for 2 små.

Dette er noget du bør vurdere, umiddelbart ville jeg sige at man ligeså godt kan købe og bruge 4 nye ip-adresser fra starten for ikke at skulle til at omkonfigurere systemet senere.
Dette ville jo kræve service vinduer på alle enheder der benytter ASA'ens LAN og ISA'en, da du skal ændre subnet på samtlige enheder.

Lad os sige at du har disse subnets:

87.62.128.104 - 87.62.128.107 (/30 - 255.255.255.252)
Det første subnet, kunne du bruge mellem din ISP og din ASA.

87.62.128.108 - 87.62.128.111 (/30 - 255.255.255.252)
Det andet subnet, kunne du bruge mellem din ASA og din ISA.

87.62.128.112 - 87.62.128.128 (/28 - 255.255.255.240)
Det tredje subnet, ville være din DMZ.

-
Din ISP gateway: 87.62.128.105
Din ASA WAN: 87.62.128.106
Din ASA LAN: 87.62.128.109
Din ISA WAN: 87.62.128.110
Din ISA LAN: 87.62.128.113

Din ISP vil derfor route alt trafik til "87.62.128.112 /28 via 87.62.128.106" (din asa), og du ville sætte din asa til at route "87.62.128.112 /28 via 87.62.128.110" (din isa)

Din ASA skal benytte din ISP's IP som gateway (87.62.128.105).
Din ISA skal benytte ASA'en som gateway (87.62.128.109).
Dine DMZ hosts skal benytte ISA'en som gateway (87.62.128.113).

Så ville du også være sikret, til at kunne have 13 dmz enheder :)

Igen, jeg håber du forstår :)

Hejsa.
Super mange gange tak for dit input!
Jeg ræser straks afsted og beder om et range med 4 nye ip-adresser :-)

Med venlig hilsen,
Thomas