思科设备做NAT应该做在路由器上还是防火墙上比较好?
发布网友
发布时间:2022-05-05 08:57
我来回答
共4个回答
热心网友
时间:2023-10-26 08:17
1、路由器对NAT的支持,不如防火墙,如果两个都有,一般都做在防火墙上;
2、ASA一般不作透明方式,而且Cisco对透明网桥的支持是在7.0以后的版本,使用路由方式比较好;
3、因为你内部有对外服务,建议你把WEB放在DMZ区域,就是将ASA按照*、内网、DMZ的方式配置。
4、对于内网如果有多个VLAN,建议VLAN之间的路由,由三层交换机来负责,尽量不要提到防火墙上。
补充:
如果你的*接口是以太网的,可以去掉路由器,其实路由其的主要功能是路由维护和选择,还有一个比较重要的功能就是使用不同的连接线路,如E1、Frame-Relay等,这时防火墙一般是不会支持的。所以主要看你的线路是什么类型的。再有如果有多条路径(多线路)时,一般都需要使用路由器。
再补充一点:
刚才忽略了一个问题,如果接入商只给呢你一个公网IP地址,而且这个地址又是网间地址(也就是你必须设置在你的WAN口),那么NAT的位置就没得选了,只能设置在出口设备上,不管是路由器还是防火墙。
热心网友
时间:2023-10-26 08:17
内网用3层交换,出去用防火墙,路由器其实和3层交换与防火墙在使用中交汇点太多了,可以拿掉
热心网友
时间:2023-10-26 08:17
1、路由器对NAT的支持,不如防火墙,如果两个都有,一般都做在防火墙上;
2、ASA一般不作透明方式,而且Cisco对透明网桥的支持是在7.0以后的版本,使用路由方式比较好;
3、因为你内部有对外服务,建议你把WEB放在DMZ区域,就是将ASA按照*、内网、DMZ的方式配置。
4、对于内网如果有多个VLAN,建议VLAN之间的路由,由三层交换机来负责,尽量不要提到防火墙上。
补充:
如果你的*接口是以太网的,可以去掉路由器,其实路由其的主要功能是路由维护和选择,还有一个比较重要的功能就是使用不同的连接线路,如E1、Frame-Relay等,这时防火墙一般是不会支持的。所以主要看你的线路是什么类型的。再有如果有多条路径(多线路)时,一般都需要使用路由器。
再补充一点:
刚才忽略了一个问题,如果接入商只给呢你一个公网IP地址,而且这个地址又是网间地址(也就是你必须设置在你的WAN口),那么NAT的位置就没得选了,只能设置在出口设备上,不管是路由器还是防火墙。
热心网友
时间:2023-10-26 08:18
建议在路由上做,因为你的防火墙承担着个中ACL的控制,但是防火墙好像也有个NAT转换,配置时要考虑到防火墙能否让流量进来出去。
热心网友
时间:2023-10-26 08:17
内网用3层交换,出去用防火墙,路由器其实和3层交换与防火墙在使用中交汇点太多了,可以拿掉
热心网友
时间:2023-10-26 08:18
这要看你设计的拓扑是什么样的
如果你的公有IP地址配置配置在2821上就要在2821上做NAT转换
如果配置在ASA5510就要在ASA上做NAT转换
网络配置都很简单就看你会不会设计了不是感觉他有用或者没用
热心网友
时间:2023-10-26 08:18
建议在路由上做,因为你的防火墙承担着个中ACL的控制,但是防火墙好像也有个NAT转换,配置时要考虑到防火墙能否让流量进来出去。
热心网友
时间:2023-10-26 08:18
这要看你设计的拓扑是什么样的
如果你的公有IP地址配置配置在2821上就要在2821上做NAT转换
如果配置在ASA5510就要在ASA上做NAT转换
网络配置都很简单就看你会不会设计了不是感觉他有用或者没用
热心网友
时间:2023-10-26 08:17
1、路由器对NAT的支持,不如防火墙,如果两个都有,一般都做在防火墙上;
2、ASA一般不作透明方式,而且Cisco对透明网桥的支持是在7.0以后的版本,使用路由方式比较好;
3、因为你内部有对外服务,建议你把WEB放在DMZ区域,就是将ASA按照*、内网、DMZ的方式配置。
4、对于内网如果有多个VLAN,建议VLAN之间的路由,由三层交换机来负责,尽量不要提到防火墙上。
补充:
如果你的*接口是以太网的,可以去掉路由器,其实路由其的主要功能是路由维护和选择,还有一个比较重要的功能就是使用不同的连接线路,如E1、Frame-Relay等,这时防火墙一般是不会支持的。所以主要看你的线路是什么类型的。再有如果有多条路径(多线路)时,一般都需要使用路由器。
再补充一点:
刚才忽略了一个问题,如果接入商只给呢你一个公网IP地址,而且这个地址又是网间地址(也就是你必须设置在你的WAN口),那么NAT的位置就没得选了,只能设置在出口设备上,不管是路由器还是防火墙。
热心网友
时间:2023-10-26 08:17
内网用3层交换,出去用防火墙,路由器其实和3层交换与防火墙在使用中交汇点太多了,可以拿掉
热心网友
时间:2023-10-26 08:18
建议在路由上做,因为你的防火墙承担着个中ACL的控制,但是防火墙好像也有个NAT转换,配置时要考虑到防火墙能否让流量进来出去。
热心网友
时间:2023-10-26 08:18
这要看你设计的拓扑是什么样的
如果你的公有IP地址配置配置在2821上就要在2821上做NAT转换
如果配置在ASA5510就要在ASA上做NAT转换
网络配置都很简单就看你会不会设计了不是感觉他有用或者没用