У меня небольшая сеть с кабельным модемом бизнес-класса. У меня на внутренней стороне модема назначен блок * .192 / 29. Первый используемый IP-адрес .193 назначается интерфейсу кабельного модема. У меня нет доступа к конфигурации кабельного модема - она принадлежит интернет-провайдеру.
На мой взгляд, у меня есть два варианта. Один - разделить / 29 на два / 30. Проблема в том, что это даст мне два, по сути, двухточечных соединения. .193 на модеме, подключенном к .194 на моем маршрутизаторе, затем .197 на другом интерфейсе на моем маршрутизаторе, подключенном к устройству, использующему .198. Как только я это сделаю, мои IP-адреса будут исчерпаны, и у меня будет только одно устройство, кроме маршрутизатора, в сети.
Другой вариант - поместить модем и любые другие устройства в общий сегмент до маршрутизатора. (Это текущая установка, использующая маршрутизатор Cisco 2651XM с модулем коммутации NM-16.) Это позволяет мне использовать от .194 до .198 для активных устройств. Проблема с этим решением заключается в том, что у меня нет возможности добавить список доступа брандмауэра к трафику. У меня сервер работает на IP .195. Трафик из Интернета на этот сервер идет от .193 на модеме и направляется непосредственно к .195, оставаясь в пределах одной VLAN на модуле коммутации. Интерфейс, соединяющий модем, является портом второго уровня и не принимает ACL. Он не проходит через маршрутизируемый интерфейс и поэтому не будет проходить через какие-либо списки доступа. Сервер полностью открыт для Интернета и не контролирует трафик, попадающий на него. Я не очень хорошо знаком с VACL, которые могут работать, но, похоже, они поддерживаются только на высокопроизводительных коммутаторах и недоступны на NM-16.
Одним из возможных решений было бы разместить частный IP-адрес на сервере и использовать NAT для отправки Интернет-трафика на сервер, но это вызывает проблемы с внутренними устройствами, пытающимися связаться с сервером, поскольку их трафик не будет поступать через внешний NAT. интерфейс. Кажется, это обычная проблема, но я не могу найти что-нибудь в сети, где бы это обсуждалось. Я что-то упустил?
Попросите интернет-провайдера изменить модем, чтобы он действовал как мост, а не как маршрутизатор, и разместите ваши общедоступные IP-адреса на вашем собственном оборудовании, чтобы вы могли перенаправить их туда, где вам нужно.
Почему бы не использовать внутренние адреса RFC 1918 (в том числе на сервере) и NAT / порт перенаправлять трафик на внутренние хосты по мере необходимости, как вы, кажется, предлагаете в качестве одного из ваших потенциальных решений? К чему внутренние хосты должны получить доступ на сервере, чтобы они не могли использовать адреса RFC 1918 внутри и выполнять NAT / переадресацию портов на сервер?