Я уверен, что это очень простая / распространенная сетевая проблема. У меня есть 1 веб-сервер и 2 сервера баз данных, которые расположены в дата-центре. Мне выдано 10 общедоступных IP-адресов, и у меня есть 10-портовый коммутатор Cisco на 1 Гбит (поддерживает режимы L2 и L3).
В настоящее время эти 3 сервера подключены к коммутатору и настроены с общедоступными IP-адресами, нет VLAN, и я не использую никаких дополнительных функций на коммутаторе. Веб-сервер использует 2 дополнительные сетевые адаптеры для перехода к 2 серверам баз данных, каждый из которых независимо подключен к коммутатору и доступен по общедоступному IP-адресу.
Теперь мне нужно добавить, возможно, еще 2 веб-сервера, поэтому мне нужно настроить частную внутреннюю сеть (192.168.1.xxx) на коммутаторе, чтобы все серверы могли общаться друг с другом, но мне также нужно иметь доступ к каждому соответствующему серверу через общедоступный IP-адрес, например для администрирования удаленного рабочего стола мне также иногда требуется доступ через 1433 для взаимодействия с SQL Server.
У меня вопрос: можно ли это сделать просто с помощью коммутатора или мне нужен маршрутизатор? Каждый сервер имеет минимум 2 сетевых адаптера. Нужно ли каждому серверу 2 подключения к коммутатору, одно для внутреннего диапазона IP-адресов и одно для внешнего доступа?
Извините, если я упустил какие-либо важные детали.
То, о чем вы просите, можно достичь с помощью VLAN. Это можно будет сделать даже на некоторых неуправляемых коммутаторах, хотя управляемый коммутатор предоставит вам еще несколько вариантов.
Вы можете оставить свои общедоступные IP-адреса в немаркированной VLAN, что означает, что сегмент общедоступного IP-адреса будет работать в обычном режиме и не потребует изменений конфигурации маршрутизатора на другой стороне коммутатора.
Затем на каждом хосте вы создаете виртуальный интерфейс для тега VLAN и используете его для своего внутреннего сегмента. Например, если вы используете Linux, команда может быть такой: vconfig add eth0 10 который создаст интерфейс с именем eth0.10 и отправлять и получать пакеты с тегом VLAN номер 10. Затем вы можете активировать эти виртуальные интерфейсы на каждом хосте, как если бы они были физическим интерфейсом.
Если это неуправляемый коммутатор, способный переключать тегированные пакеты, то в этом больше ничего нет.
Если это управляемый коммутатор, он может не разрешать помеченные пакеты по умолчанию. В этом случае вам нужно будет включить тег VLAN на каждом порту в конфигурации коммутатора. Однако управляемый коммутатор дает вам и другие возможности.
Если у вас есть запасные порты на коммутаторе, вы можете выбрать, что они будут использоваться для портов, которые в настоящее время подключены через перекрестный кабель. Перед их подключением вам необходимо настроить VLAN на коммутаторе.
Вы можете настроить все используемые в настоящее время порты для использования VLAN 1 как немаркированной, а VLAN 2 как тегированной. И вы можете настроить порты, которые будут подключены рядом, чтобы использовать VLAN 2 как немаркированный, а VLAN 1 как тегированный.
Затем вы можете подключить каждый из этих портов к коммутатору вместо перекрестного кабеля. Таким образом, вы можете начать работу с виртуальными локальными сетями без необходимости сразу же перенастраивать серверы.
Следующий добавляемый сервер может иметь только одно сетевое соединение, которому можно предоставить доступ к обеим VLAN. На этом этапе вам нужно будет решить, какая VLAN будет немаркирована, если какая-либо из них.
Вам понадобится брандмауэр. Что-то вроде Межсетевой экран Cisco ASA 5505 предоставит вам возможность NAT публично на частные IP-адреса и позволяют использовать полный блок выделенных вам IP-адресов.
При повторном IP-адресе хостов вы все еще можете поддерживать VLAN на своем коммутаторе и пропускать интернет-трафик через Cisco ASA.