Сетевые гуру,
Это кажется логичным и выполнимым, но я хочу получить совет от экспертов. У нас есть / 26 в нашем центре обработки данных.
Некоторым из наших серверов приложений (A) нужны общедоступные IP-адреса и, следовательно, необходимость в таком количестве адресов. Эти серверы в старой настройке [Маршрутизатор -> Управляемый коммутатор (vlans) -> отдельные коммутаторы LAN / vlan] были на отдельном vlan, и только для этого у нас было выделено / 24 drop от провайдера центра обработки данных, подключенного к управляемому коммутатору. Также основные приложения (B) находились за FW, у которого было отдельное падение / 27, и порт LAN обслуживал наши потребности (порт LAN также был переключен через тот же управляемый переключатель на частный vlan).
Мы перемещаем центр обработки данных, и на этот раз, вместо того, чтобы переходить к двухпозиционному решению, я думал о том, чтобы установить либо простой простой коммутатор / концентратор перед маршрутизатором, либо управляемый коммутатор перед маршрутизатором. Маршрутизатор / FW будет обслуживать наши основные приложения (B), а также другие серверы приложений, которые должны быть на общедоступном IP-канале с того же коммутатора. Какое решение было бы лучше?
Другой альтернативой является то, что наш маршрутизатор также имеет порт dmz и возможность multi 1: 1 NAT. Я мог бы создать виртуальный интерфейс на порту WAN с поддиапазоном IP-адресов, привязанным 1: 1 к локальному диапазону IP-адресов dmz. В этой ситуации мне нужно будет создать маршрут политики (SNAT), чтобы эти серверы отключились?
Спасибо
Пурвеш
Использование маршрутизатора или коммутатора на границе поставщика услуг обычно определяется тем, каким образом вам будет доставлен диапазон IP-адресов.
Диапазон адресов, который поставщик предоставляет вам с «шлюзом восходящего потока», и никакая конфигурация маршрутизации на вашем конце, должен иметь соединение второго уровня со шлюзом (или имитировать его как таковое; см. Proxy ARP), чтобы пакеты передавались. Когда пакет попадает на восходящий маршрутизатор, он предполагает, что адрес назначения находится в локальном сегменте L2, и просто отходит от него по протоколу ARP. Это означает, что вам необходимо иметь коммутатор (или другую сеть L2) для всех потребителей адресного пространства. Это не значит все имеет быть подключенным напрямую - если вы разместите маршрутизатор на своем конце и запустите на нем Proxy ARP, вы все равно сможете выполнять фильтрацию L3 (брандмауэр) для трафика, прежде чем он попадет в пункт назначения; у вас просто более сложная и трудная для отладки сетевая среда.
Поскольку это может быть довольно сложной задачей для более крупного сетевого блока, это обычно происходит только для небольших блоков или поставщиков, которые не знают, что они делают. В большом конце города вы обычно получаете очень небольшой диапазон (или даже соединение точка-точка) между маршрутизатором поставщика услуг и вашим, и все дополнительные сетевые блоки будут маршрутизироваться на ваш маршрутизатор. через этот адрес.
Например, если вам назначили 192.0.2.0/25 как ваш большой кусок IP-адресов, вам также будет предоставлено меньшее выделение (скажем, 192.0.2.192/29) и получите ответ: "шлюз восходящего потока 192.0.2.193. Затем вы настраиваете свои маршрутизаторы (пара HA, natch) на IP-адреса. 192.0.2.194 и 192.0.2.195и настроить 192.0.2.196 в качестве IP-адреса HA, которым один маршрутизатор из пары будет "управлять" в любой момент. Затем вы говорите поставщику услуг: «Пожалуйста, направьте мой большой блок IP-адресов на 192.0.2.196, а затем любой маршрутизатор сможет обрабатывать трафик, в зависимости от того, у какого из них в данный момент есть говорящий джойстик.
Дополнительным полезным преимуществом этого подхода является то, что несколько блоков могут быть маршрутизированы на один и тот же IP-адрес, что снижает фактор хлопот, связанный с множеством неудобных сетевых конфигураций в одном и том же сегменте L2. Вы также не нужно тратить первый и последний адреса блока на сетевые и широковещательные адреса, потому что вы на самом деле не «разбиваете подсети» в этом смысле, а просто маршрутизируете фрагменты адресного пространства.
Заинтересованным,
Решение, которое я принял, было проще и лучше. Вместо того, чтобы ставить коммутатор перед маршрутизатором и разделять сеть там или иметь отдельное падение, я решил использовать вариант маршрутизации SNAT. Наш маршрутизатор поддерживает multi 1: 1 NAT, пришлось настроить политику SNAT (маршруты политики), которая заменяет внутренний IP на внешний IP. Самым большим преимуществом этого является то, что серверы находятся за брандмауэром, а не в DMZ. Единственным недостатком этого подхода была установка брандмауэра на эти серверы, чтобы они не могли получить доступ к каким-либо ресурсам в локальной сети. Мы открыли только необходимые порты от IP-адресов WAN к этим серверам и, заблокировав весь доступ с этих серверов к LAN-серверам, эффективно создали надежную безопасную систему, которая дает преимущества DMZ и вместе с тем безопасность межсетевого экрана.