У меня есть два сервера Linux, которые будут подключены к типичному коммутатору / маршрутизатору l3. Им обоим будет назначен по одному общедоступному IP-адресу для каждого (скажем, pub.ip.n.1 и pub.ip.n.2) ИТ-отделом.
Q1: Какой лучший (самый простой) способ получить функциональность:
рабочая интернет-маршрутизация (в / из pub.ip.n.1 и pub.ip.n.2)
в любой подсети, которую я определяю на интерфейсах серверов (скажем, 10.1.1.1/24), трафик будет передаваться между серверами. Добавление / удаление подсети должно быть только задачей администратора сервера, администратор маршрутизатора не требуется.
эти определенные подсети вообще не будут маршрутизироваться и никоим образом не будут взаимодействовать с другой определенной / назначенной подсетью.
Нет необходимости в маршрутизации / NAT на стороне маршрутизатора, брандмауэры будут управляться в Linux.
Исходя из теории и после некоторого чтения, мне кажется, что это можно сделать с помощью:
а) настроить VLAN на обоих портах
б) установите pub.ip.n.1 и pub.ip.n.2 для каждого порта / назначьте pub.ip.n.1 / .2 и .gw для VLAN.
c) разрешить поток всего трафика Ethernet уровня 2 между портами
г) запретить любой IP-трафик (кроме pub.ip.n.1, pub.ip.n.2 pub.ip.n.gw) входить / выходить из vlan.
Q2: Требуется ли для этого какой-либо сложный маршрутизатор, или он должен быть возможен на среднем серверном оборудовании в настоящее время?
С уважением, заранее спасибо!
Я думаю, вы можете сделать все это с помощью управляемого коммутатора L3 и межсетевого экрана. VLAN были бы самым простым способом изолировать подсети, затем несколько простых правил брандмауэра, как вы определяете правила, зависит от того, что вы используете.
Так,
VLAN 10 1.1.1.0/30 GW 1.1.1.1 HOST 1.1.1.2
VLAN 20 2.2.2.0/30 GW 2.2.2.1 HOST 2.2.2.2
Разрешить трафик между 1.1.1.0/30
и 2.2.2.0/30
и в сторону Интернета, и из Интернета в сторону 1.1.1.0/30
и 2.2.2.0/30
. Сообщите своему брандмауэру / маршрутизатору ACL другим сетям и запретите трафик в эти две сети и из них.
Вообще ничего особенного не нужно, все это можно сделать с помощью оборудования SoHo.