Por*_*man 8 networking ip subnet
提前为拙劣的术语道歉。我已经阅读了Server Fault Subnet Wiki,但这更像是一个 ISP 问题。
我目前有一个 /27 公共 IP 块。我使用给我的路由器这个池中的第一个地址,然后对防火墙后面的所有服务器使用 1 对 1 NAT,以便它们每个都获得自己的公共 IP。
路由器/防火墙当前正在使用(删除实际地址以保护犯罪者):
IP Address: XXX.XXX.XXX.164
Subnet mask: 255.255.255.224
Gateway: XXX.XXX.XXX.161
我想做的是将我的子网分解为两个单独的 /28 子网。并且以对 ISP 透明的方式执行此操作(即,他们认为我继续操作单个 /27)。
目前,我的拓扑如下所示:
ISP
|
[Router/Firewall]
|
[Managed Ethernet Switch]
/ \ \
[Server1] [Server2] [Server3] (etc)
相反,我希望它看起来像:
ISP
|
[Switch]
/ \
[Router1] [Router2]
| | | |
[S1] [S2] [S3] [S4] (etc)
如您所见,这会将我分成两个独立的网络。
我正在努力解决 Router1 和 Router2 上正确的 IP 设置。
这是我现在所拥有的:
Router1 Router2
IP Address: XXX.XXX.XXX.164 XXX.XXX.XXX.180
Subnet mask: 255.255.255.240 255.255.255.240
Gateway: XXX.XXX.XXX.161 XXX.XXX.XXX.161
请注意,通常您希望 Router2 具有 0.177 的网关,但我试图让它们都使用 ISP 最初提供给我的网关。
这样的子网划分实际上是可能的,还是我完全搞砸了最基本的概念?
——
编辑
有几个人问“为什么”。我想这样做有几个具体原因:
我的路由器/防火墙每 6-8 周锁定一次。我经历了一系列设备:NetGear FVS318、Linksys RV042、Watchguard Firebox Edge X20e和Cisco ASA 5505。所有设备都发生了同样的事情,这显然是由于设备管理的十几个 IPSec VPN 隧道造成的。每当它锁定时,网络工程师都需要对设备进行物理重启。
我有一个大客户,机柜中大约 1/2 的服务器是他们的。我希望该客户端能够自己管理防火墙和 VPN 规则,而不是通过我。这样,我会给他们对 Router2 的 root 访问权限,他们可以自己管理一切,而不会对 Router1 造成任何问题。
如果您没有使用 NAT,即如果您想实际进行路由并将真实服务器放在这些 IP 地址上,那么您就无法以对提供商透明的方式对您的网络进行子网划分;他们将需要修改其路由器配置和路由表以适应您的新网络设置,可能会为您提供两个网关地址和/或两个路由器(或者如果您将一个子网放在另一个子网“后面”,则通过设置新路由,并且你的防火墙在中间)。
然而,如果您继续使用 NAT 并简单地将一半地址提供给防火墙,将一半地址提供给另一个防火墙,那么它们的外部 IP 将在您的 ISP 看来仍然属于单个子网,并且一切都会正常工作。
| 归档时间: |
|
| 查看次数: |
5915 次 |
| 最近记录: |