Возможно ли иметь два роутера в общедоступной подсети?
->forward all traffic for [177.x.x.{3,5,7}]
Internet --- [177.x.x.1] ------------------------------------ [177.x.x.3]
/ | \ / \
/ | \ / \
[177.x.x.2] [177.x.x.4] [177.x.x.6] [177.x.x.5] [177.x.x.7]
В основной маршрутизатор (177.x.x.1) подключен к WAN и пересылает весь трафик (с IP-адресами назначения 177.x.x.3, 177.x.x.5, 177.x.x.7) на второй роутер (177.xx3), к которым подключено несколько Машин, чтобы этот второй маршрутизатор (177.xx3) мог маршрутизировать трафик внутри (177.xx3, 177.xx5, 177.xx7 - количество одиночных публичных IP), как это обычно делает основной маршрутизатор (177.xx1)? Кроме того, все 177.x.x.2, 177.x.x.4, 177.x.x.6, 177.x.x.8 ... по-прежнему будут управляться основным маршрутизатором (177.x.x.1). Таким образом, я мог изолировать эти три машины (177.x.x.3, 177.x.x.5, 177.x.x.7).
Вся эта необычная структура, потому что у меня есть три общедоступных одиночных (не целая подсеть - слишком дорого) IP-адреса и хост, что я хотел бы сделать для второго маршрутизатора (177.xx3) и установить виртуальные машины (177.xx5, 177.xx7). Итак, основной маршрутизатор (177.xx1) находится на стороне провайдера, и у меня нет доступа к ним, но я хотел бы управлять моими виртуальными машинами с общедоступными IP-адресами отдельно от всей подсети (широковещательные сообщения только между этими тремя IP-адресами, исходящий трафик правила только на втором роутере и т.д.). Все остальные IP-адреса в подсети чужие. Так что мостовой режим - это не решение, потому что тогда маршрутизатор основного провайдера будет управлять всей моей частью сети. Это более необходимо маршрутизированный режим, но я не могу найти для этого хороший учебник.
Ваша фотография и первый абзац имеют смысл и выполнимы.
Однако без доступа к основному маршрутизатору:
Итак, основной роутер (177.x.x.1) находится на стороне провайдера, и у меня нет к ним доступа
СЦЕНАРИЙ №1 (полная маршрутизация между двумя маршрутизаторами)
вам понадобится поставщик / служба поддержки, чтобы изменить конфигурацию основного маршрутизатора для маршрутизации трафика, предназначенного для подсетей, свисающих с маршрутизатора №2, на него.
Вы также можете потребовать, чтобы провайдер изменил основной маршрутизатор (или пограничный брандмауэр), чтобы разрешить правильные правила NAT для входящего и исходящего трафика как для входящего, так и для исходящего трафика из подсетей на маршрутизаторе №2.
Вы можете установить правила исходящего трафика на втором маршрутизаторе, если хотите, но вы не можете управлять им только с маршрутизатора №2. На маршрутизаторе №2 должен быть как минимум маршрут по умолчанию к главному маршрутизатору (чтобы добраться до других подсетей и Интернета).
Вам также потребуются маршруты на главном маршрутизаторе (и, возможно, списки контроля доступа, если он выполняет функции брандмауэра), чтобы его подсети LAN могли достигать подсетей на маршрутизаторе №2.
СЦЕНАРИЙ №2 (двойной NAT и изоляция сетей)
Вы можете попросить провайдера изменить основной маршрутизатор на входящий трафик NAT с IP-адресов WAN, которые вы хотите «изолировать» от маршрутизатора №2, а затем снова выполните NAT. Они могут разрешить "ЛЮБЫЕ ЛЮБЫЕ" правила для вашего маршрутизатора №2, а затем вы должны использовать firewall / acl, что вам нужно. Позволяет вам изменять эти порты / правила в любое время. Между двумя маршрутизаторами не будет никаких маршрутов / правил, кроме тех, которые необходимы для этого второго NAT.