Локальные и общедоступные IP-адреса на одном коммутаторе?

Это возможно, но это не так посоветовал, особенно когда есть способы получше.

Во-первых, коммутаторам не важны ваши IP-адреса, им важны ваши MAC-адреса. Это устройства «уровня 2». IP-адреса относятся к уровню 3, поэтому они практически не имеют отношения к коммутации.

Чтобы убедиться, что у меня есть ваша инфраструктура, у вас есть серверы A, B, C и D. На каждом из них по 2 NIC. Вы хотите взять NIC №1 на каждом сервере и настроить их с помощью внешних IP-адресов, выходящих в Интернет, затем взять NIC №2 на каждом сервере и настроить их с частными IP-адресами?

Я должен спросить, почему именно сейчас.

Если это для выделенной полосы пропускания, вам будет лучше связать NIC # 1 и NIC # 2 в один логический интерфейс, что может удвоить пропускную способность.

Если это для безопасности, вам придется предоставить дополнительную информацию, потому что нет дополнительной безопасности от использования частных IP-адресов на коммутаторе с общедоступными сетевыми подключениями. Вы не собираетесь ничего транслировать в Интернет *, но в то же время любые сетевые широковещательные передачи с сетевых карт в частном IP-блоке (такие как запросы ARP / RARP и т. П.) воля будут отправлены на ваш восходящий маршрутизатор. Он не пересылает их и не отвечает, но определенно ничего не делает для вас.

(* - во всяком случае, наверное, нет)

Теперь, если вы все еще заботитесь о безопасности, почему бы не использовать VLAN на коммутаторе для отделения внешней сети от внутренней? Сети VLAN создадут два логических коммутатора *, которые предотвратят утечку вашей широковещательной информации уровня 2 на маршрутизатор, и в целом предпочтительнее разделение «частных» сетей на отдельные логические сети уровня 2.

(* - я упрощаю, но по сути это то, что он делает)

Причина, по которой я хочу это сделать, заключается в том, что мой коммутатор находится на несколько уровней ниже общедоступного маршрутизатора нашей компании, и я не хочу забивать другие коммутаторы и маршрутизатор трафиком, который должен идти только с одного из 4 серверов. другому. Общедоступный трафик будет минимальным, но межсерверный трафик будет огромным.

Межсерверный трафик не будет волшебным образом «перетекать» в восходящий поток к другим коммутаторам, потому что все четыре сервера находятся на одном коммутаторе (если только они не находятся в VLAN, соединенной восходящим потоком с другим коммутатором, но вы не упомянули ничего подобного который).

Если вы ожидаете значительного межсерверного трафика, я бы просто связал NIC, дал связанному интерфейсу внутренний IP-адрес и использовал NAT / переадресацию портов, чтобы разрешить общедоступный доступ.

В некоторых ситуациях я бы согласился сделать это, если бы коммутатор был относительно современным коммутатором с поддержкой тегов 802.1q VLAN.

Я бы создал один vlan для публичного трафика и один vlan для частного трафика и использовал частные адреса для частного трафика. Поместите один набор портов в один vlan (все без тегов), а другой набор портов в другой vlan.

Поместите свои общедоступные интерфейсы / адреса в один vlan, затем поместите частные адреса в другой.

Помните, что если какой-либо из общедоступных компьютеров будет взломан, вы подвергнете частные интерфейсы других хостов в частной сети этому рутированному компьютеру. Ты должен лечить все Эти интерфейсы считаются ненадежными, когда вы настраиваете и проверяете свою модель безопасности.

Подумав немного об этом - модель vlan примерно такая же, как настройка псевдонимов IP-адресов и размещение всего в одном широковещательном домене / vlan. В некотором смысле это даже лучше, потому что вы можете использовать LACP между компьютерами и коммутатором и получить лучшую производительность и избыточность каналов. Но я все равно не стал бы этого делать, потому что некрасиво полагаться на ваш маршрутизатор / брандмауэр для сброса трафика в пространство RFC1918.

Это звучит как случай для переадресации NAT и доверия вашему коммутатору.

Я бы сохранил внутренние IP-адреса серверов только на одном из их портов. Коммутатор не позволит трафику от сервера к серверу влиять на остальную часть вашей сети. Если вам нужна полоса пропускания, вы можете приобрести гигабитный коммутатор для серверов, если остальная часть вашей сети составляет 100 мегабит. Если ваш внешний трафик будет низким, нет причин использовать вторую сетевую карту, пока вам не понадобится пропускная способность.

Соединения с вашим внешним IP-адресом должны перенаправляться на внутренний IP-адрес вашего маршрутизатора через NAT.

Я не смог найти точного изображения топологии, которую вы ищете, но это близко, без переключателей.
_{(источник: btinternet.co.uk)}

В моей настройке у меня есть брандмауэр cisco ASA для пересылки запросов на определенный IP-адрес и порт на внутренний IP-адрес и порт. Сервер получает запрос и пересылает его в сеть. Таким образом, я могу сохранить любую общедоступную маршрутизацию на общедоступной стороне моего брандмауэра, внутренние широковещательные рассылки и трафик на внутренней стороне и по-прежнему получать доступ к службам во внутренней сети.

Это должно быть возможно в зависимости от вашего интернет-соединения, но я бы не рекомендовал это. Вы открываете себя для всех видов угроз безопасности. Чаще всего вы транслируете свою внутреннюю трансляцию в Интернет. Ваш Интернет-маршрутизатор будет границей этой телерадиовещания. Но если бы это не было под вашим контролем, мне бы это не понравилось.

Но я сомневаюсь, что ваша установка принесет пользу. Поскольку ваш коммутатор будет пределом пропускной способности. Вы можете использовать исключительно публичные IP-адреса (с зашифрованным трафиком!). В чем причина такой конфигурации?