我当前的设置是:
电缆调制解调器提供 13 个静态 IP(/28),GB 交换机插入电缆调制解调器,并可以访问这 13 个静态 IP,我现在使用大约 6 个“服务器”。
电缆调制解调器也是防火墙、DHCP 服务器和 3 端口 10/100 交换机。我将其用作防火墙,但目前不用作 DHCP 服务器。
我已将两根网线插入电缆调制解调器,其中一根连接到 Linksys 双频无线 10/100/1000 路由器/交换机的 WAN 端口。Linksys 中连接了几个工作站、几台打印机和一些连接到 wifi 的笔记本电脑。我将 Linksys 设置为使用静态 IP,并在 192.168.1.1/24 中为工作站、打印机等启用 DHCP。Linksys 的网络基本是自包含的,备份会转到 SAN,在该网络上,所有操作都通过该交换机进行,通过 GB。但我也可以通过使用一个静态 IP 的电缆调制解调器从它访问互联网。
这一切都有效,但是,当我在 Linksys 上时,我无法“看到”静态 IP 机器。我可以通过 ssh 和其他协议访问它们,如果我想从“外部”访问它们,我会打开漏洞,例如 80、25、587、143、22 等。
第二根电线,从电缆调制解调器/防火墙/交换机上行连接至托管 GB 交换机。
这样做的利弊是什么?我不喜欢将静态 IP 交给 Linksys。我基本上有一个由公共服务器和内部工作站组成的混合网络。我希望公共服务器使用公共 IP,因为我不想弄乱端口转发和映射。
是否同样正确,如果有人突破了 Linksys wifi,他们仍然很难进入静态 IP 范围,仅仅是因为网络拓扑的性质?
今天,为了测试,我打开了防火墙/电缆调制解调器中 10.1.10.1/24 范围内的 DHCP,Linksys 位于 192.168.1.100/24 范围内。此时,所有静态 IP 机器仍可进出,但 Linksys 无法访问。
电缆调制解调器只有 10/100 端口,因此除了网络接口(50Mb/10Mb)外,我不会插入任何其他东西。这让我觉得这可能不太理想,因为当我有 1000Mb 可用时,从工作站网络到服务器网络的传输将在 100Mb 时出现瓶颈。但如果隔离效果更好,我可能不需要解决这个问题。我不会将大量数据(如果有的话)从 Linsys 网络移动到服务器网络,因此假装是远程的就可以了。
我应该以不同的方式处理这个问题吗?
我可以在电缆调制解调器/防火墙上启用 DHCP,它仍应将静态信息发送到 GB 交换机,但也是 10.1.10.1/24 范围内的 DHCP?然后我可以将 Linksys 插入 GB 交换机,该交换机现在正在拾取静态信息和 10.1.10.1/24 范围,告诉 Linksys 使用 10.1.10.5 左右。
现在,我是否禁用 Linksys 上的 DHCP,并且电缆调制解调器/防火墙将通过静态和10.0.10.1/24 范围?或者,我可以在 Linksys 上打开第二个 DHCP 池吗?我想这样做可以再次给我带来网络隔离,但这与我现在的情况正好相反。但我摆脱了瓶颈,并不是说 Linksys 真的可以达到真正的 GB 速度,但托管交换机肯定可以。
这是因为 13 个静态 IP 并不多。目前,6 个“服务器”、Linksys、托管交换机、一些 SSL 证书,而我的 IP 快用完了。我不想在托管 GB 交换机或 Linksys 上浪费静态 IP,除非它能给我带来某种好处。
最后一个问题,在我目前的设置下,如果我在工作站上,位于 192.168.1.109,Linksys,带 GB,然后我通过 ssh 向静态 IP 机器发送文件,这是否真的离开互联网,然后又回来了,还是留在本地?对我来说,这似乎是:
Workstation (192.168.1.109) -> Linksys DHCP -> Linksys Static IP -> Cable Modem -> Server ( and it hits the 10/100 ports on the cable modem, slowing me down. But does it round trip the network, leave and come back in, limiting me to the 50/10 internet speeds?
*这些都是虚构的数字,我不使用默认路由器 IP,因为我有一天会添加 VPN,并且不希望发生冲突。
我需要一些建议,我想要一个大网络还是两个独立的网络。现在的打印机需要 IP,所有东西都需要,我无法让 autoconf/bonjour 在大多数打印机上可靠。但我也不确定我是否希望我的操作的“服务器”端受到我的操作的工作站端的污染。
除非存在一些我还没有学到的神奇的子集,否则我的想法是这样的:
Cable modem 10/100, has 13 static IP, publicly accessible ->
Enable DHCP on the cable modem ->
Cable modem plugs into managed switch ->
Managed switch gets 10.1.10.1 ssh, telnet, https admin management address ->
Managed switch sends static IP's to to servers ->
Plug Linksys into managed switch, giving it 10.1.10.2 static internally in Linksys admin ->
Linksys gets assigned 10.1.10.x as its DHCP sending range ->
Local printers, workstations, iPhones etc, connect to this ->
( Do I enable DHCP or disable it on the Linksys, just define a non over lapping range, or create an entirely new DHCP at 10.1.50.0/24, I think I am back isolated again with that method too? )
感谢您的任何建议。这是我第一次处理小于 /24 的地址,大多数地址都大于 /24,但只需将其放到机柜中即可。否则,它就是一个路由器、几个中继器和简单的 soho 设备,只有一个 IP。我知道有些人可能会建议在服务器上使用所有 DHCP,也许有一天我会这样做,但不是现在,因为设备移动太多了,我对此不感兴趣,我希望 Catalyst 系列中的某些东西能够处理这个问题。