Из-за ряда неудачных решений по проектированию сети (в основном), принятых много много лет назад, чтобы сэкономить несколько долларов здесь и там, у меня есть сеть с явно неоптимальной архитектурой. Я ищу предложения по исправлению этой неприятной ситуации.
Мы некоммерческая организация с ИТ-отделом на базе Linux и ограниченным бюджетом. (Примечание: ни одно из оборудования Windows, которое у нас работает, не поддерживает связь с Интернетом, и у нас нет в штате администраторов Windows.)
Ключевые моменты:
Весь обычный интернет-трафик проходит через маршрутизатор-сервер CentOS 5, который, в свою очередь, преобразует подсети 192.168 / 24 в подсети 10.0.0.0/24 в соответствии с настроенными вручную правилами маршрутизации, которые мы используем для направления исходящего трафика на правильное интернет-соединение на основе Операторы маршрутизации '-host'.
Я хочу упростить это и подготовить все для виртуализации ESXi, включая эти общедоступные сервисы. Есть ли недорогое решение, которое избавит от двойного NAT и немного вернет этот беспорядок, чтобы моя будущая замена не преследовала меня?
Базовая схема для главного офиса:
Вот мои цели:
1.) Прежде чем что-либо еще, уточните свой план IP-адресации. Перенумеровать сложно, но это необходимый шаг для создания работоспособной инфраструктуры. Отложите удобные большие, легко суммируемые суперсети для рабочих станций, серверов, удаленных сайтов (естественно, с уникальными IP-адресами), сетей управления, кольцевых проверок и т. Д. В RFC1918 много места, и цена приемлемая.
2.) Трудно понять, как разместить L2 в вашей сети, основываясь на схеме выше. VLAN может не понадобиться, если у вас есть достаточное количество интерфейсов в различных шлюзах, а также достаточное количество коммутаторов. Как только у вас появится чувство №1, возможно, имеет смысл вернуться к вопросу L2 отдельно. Тем не менее, VLAN не являются особенно сложным или новым набором технологий и не должны быть такими сложными. Некоторое базовое обучение необходимо, но как минимум возможность разделить стандартный коммутатор на несколько групп портов (то есть без транкинга) может сэкономить много денег.
3.) Хосты DMZ, вероятно, должны быть размещены в их собственных сетях L2 / L3, а не объединены с рабочими станциями. В идеале у вас должны быть пограничные маршрутизаторы, подключенные к устройству L3 (другой набор маршрутизаторов? Переключатель L3?), Который, в свою очередь, будет подключать сеть, содержащую ваши внешние серверные интерфейсы (хост SMTP и т. Д.). Эти хосты, вероятно, будут подключаться обратно к отдельной сети или (что менее оптимально) к общей подсети сервера. Если вы правильно расположили свои подсети, то статические маршруты, необходимые для направления входящего трафика, должны быть очень простыми.
3a.) Старайтесь держать сети VPN отдельно от других входящих сервисов. Это упростит мониторинг безопасности, устранение неполадок, учет и т. Д.
4.) За исключением консолидации ваших подключений к Интернету и / или маршрутизации одной подсети через несколько операторов (читай: BGP), вам понадобится промежуточный узел перед граничными маршрутизаторами, чтобы иметь возможность перенаправлять входящий и исходящий трафик соответствующим образом (как Подозреваю, что делаешь в данный момент). Это кажется большей головной болью, чем VLAN, но я полагаю, что все это относительно.