Заранее извиняюсь за неверную терминологию. Я прочитал Вики по подсети сбоя сервера но это скорее вопрос интернет-провайдера.
В настоящее время у меня есть блок публичных IP-адресов / 27. Я использую дать своему маршрутизатору первый адрес в этом пуле, а затем использую NAT 1 к 1 для всех серверов за брандмауэром, чтобы каждый из них получил свой собственный общедоступный IP-адрес.
Маршрутизатор / межсетевой экран в настоящее время использует (фактические адреса удалены для защиты виновных):
IP Address: XXX.XXX.XXX.164
Subnet mask: 255.255.255.224
Gateway: XXX.XXX.XXX.161
Я хотел бы разбить свою подсеть на две отдельные подсети / 28. И сделайте это прозрачным для интернет-провайдера способом (т.е. они видят, что я продолжаю использовать один / 27).
Сейчас моя топология выглядит так:
ISP
|
[Router/Firewall]
|
[Managed Ethernet Switch]
/ \ \
[Server1] [Server2] [Server3] (etc)
Вместо этого я бы хотел, чтобы это выглядело так:
ISP
|
[Switch]
/ \
[Router1] [Router2]
| | | |
[S1] [S2] [S3] [S4] (etc)
Как видите, это разделит меня на две отдельные сети.
Я борюсь с тем, какие правильные настройки IP будут на Router1 и Router2.
Вот что у меня сейчас:
Router1 Router2
IP Address: XXX.XXX.XXX.164 XXX.XXX.XXX.180
Subnet mask: 255.255.255.240 255.255.255.240
Gateway: XXX.XXX.XXX.161 XXX.XXX.XXX.161
Обратите внимание, что обычно вы ожидаете, что Router2 будет иметь шлюз .177, но я пытаюсь заставить их обоих использовать шлюз, первоначально предоставленный мне провайдером.
Возможно ли такое разделение на подсети на самом деле, или я полностью ошибаюсь в самых основных концепциях?
-
редактировать
Несколько человек спросили «Почему». Есть несколько конкретных причин, по которым я хочу это сделать:
Мой маршрутизатор / брандмауэр блокируется каждые 6-8 недель. Я прошел через множество устройств: NetGear FVS318, Linksys RV042, Watchguard Firebox Edge X20e, а Cisco ASA 5505. То же самое произошло со всеми устройствами, и, по-видимому, это связано с дюжиной или около того туннелей IPSec VPN, которыми управляет устройство. Каждый раз, когда он блокируется, сетевой инженер должен физически выключить и снова включить устройство.
У меня один большой клиент, и около половины серверов в шкафу принадлежат им. Я бы хотел, чтобы этот клиент мог сам управлять правилами брандмауэра и VPN, а не проходить через меня. Таким образом, я дал бы им root-доступ к Router2, и они могли бы управлять всем самостоятельно, не создавая никаких проблем для Router1.
Все выглядит совершенно правильно. Обратите внимание, что серверы будут использовать сетевую маску .240 и либо .164, либо .180 в качестве шлюза. Однако вы уверены, что хотите потратить два IP-адреса на подсети? Вы должны зарезервировать .160 и .176 как сетевые адреса, а .175 и .191 как широковещательные адреса. Если вы не подсеть, вам не нужно этого делать, поэтому .175 и .176 могут быть хостами.
Если вы не используете NAT, т.е. если вы действительно хотите выполнять маршрутизацию и размещать реальные серверы на этом IP-адресе, вы не можете подсеть свою сеть таким образом, чтобы это было прозрачно для вашего провайдера; им нужно будет изменить конфигурацию своего маршрутизатора и свои таблицы маршрутизации, чтобы учесть вашу новую настройку сети, возможно, предоставив вам два адреса шлюза и / или два маршрутизатора (или путем настройки нового маршрута, если вы поместите одну подсеть "позади" другой и ваш брандмауэр посередине).
Однако, если вы продолжите использовать NAT и просто передадите половину адресов брандмауэру, а половину - другому, то их внешние IP-адреса будут отображаться вашему интернет-провайдеру как все еще принадлежащие одной подсети, и все будет продолжать работать нормально.
ISP
|
|
| assumes that this link is not part
| of x.x.x.160 /27
|
|
[Router] This router will need three routed ports
/.161 \ .177
/ \
[Switch] [Switch]
| | | |
[S1] [S2] [S3] [S4] (etc)
Для вашего интернет-провайдера не будет никакой разницы, если вы разделите этот блок / 27 на более мелкие блоки, с их точки зрения, все, что они знают, это то, что они должны доставить этот блок / 27 на внешний интерфейс вашего маршрутизатора.
Вам понадобится маршрутизатор с 3 отдельными интерфейсами (один WAN, два LAN) или маршрутизатор, способный поддерживать несколько диапазонов на своих интерфейсах.
затем вы можете разделить блок на два отдельных блока x.x.x.160 / 28 и x.x.x.176 / 28
однако в вашем примере у вас были неправильные шлюзы по умолчанию. У каждого из этих блоков будет собственный шлюз по умолчанию, потому что каждый из новых блоков / 28 необходимо будет настроить на интерфейсе маршрутизатора, и любой IP-адрес, настроенный на этом интерфейсе, будет шлюзом для остальной части блока.
Да, вы сможете взять свой c.x.x.160 / 27 и разделить его на x.x.x.160 / 28 и x.x.x.176 / 28. Вы МОЖЕТЕ заставить свой Router2 использовать Router1 в качестве следующего перехода, возможно, установив между ними двухточечную связь и используя / 30 из частного диапазона в качестве ссылки.
Кроме того, разделив / 27 на два / 28, вы получите меньше используемых IP-адресов.
Если вы скажете нам, почему вы хотите его разорвать, возможно, есть другой вариант, чтобы выполнить то, что вы хотите.
Использование фиктивного адреса, оканчивающегося на .160
Network* Net Broadcast CIDR Mask UsableHosts
192.168.254.160 192.168.254.175 28 255.255.255.240 14 REQ 14
192.168.254.176 192.168.254.191 28 255.255.255.240 14 REQ 14
*От моего Калькулятор / Планировщик подсети
Конечно, вы можете сделать это, вам нужно сделать это в / 27, что означает 30 хостов (плюс 2 сети и широковещательная передача), ваша сеть будет 192.168.254.161 - 192.168.254.190 (я имею в виду хосты) с 255.255.255.224