我建立网络已经有一段时间了,所以请耐心等待,因为我已经忘记了一些术语。
假设我们的 ISP 提供了“5”个可用的静态 IP 地址,是否可以将其中 3 个用作可全局访问的“服务器”,然后使用剩下的 2 个地址创建两个额外的独立 LAN?
LAN_A 需要访问服务器,并且可能会出现在与服务器相同的“子网”上,因为该子网上的用户依赖某些服务器进行文件共享等。
LAN_B 将完全独立,并且对上述服务器的访问权限不会比全球互联网上的任何其他人更多。
可能吗?如果可能,怎么做?我知道我可以将 6(“5”可用)拆分为两个不同的 3(2 个可用),但这不符合我们的要求,因为我们需要一个实体的服务器至少有 3 个。
另一个选择是从我们的 ISP 获取“13”个可用的静态地址。
重点是我们有两个不同的实体共享相同的物理空间和 ISP。一个实体拥有需要访问的服务器(并且该服务器需要全球可访问的静态 IP 地址),而另一个实体只需要为 10 个左右的用户提供基本的互联网访问。
希望这有意义。如果我可以提供更多信息来使这一点更清楚,请告诉我。
编辑:
确认:我们有一个/29子网(因此有 5 个静态 IP 地址)
另外,添加了一张图表,说明我思考完成后可能看起来:
我无法识别下图中的“交换机”。它是单个智能交换机(支持 VLAN)吗?还是 2 个交换机?或者是路由器 + 交换机?
非常感谢您的帮助!
编辑2:
通过在交换机和 LAN A 之间放置路由器来更新网络图。这有意义吗?
答案1
您要“为其创建 LAN”的 2 个公共 IP 地址需要是 NAT/PAT 网关的一部分,并在其“后面”指定一个专用地址子网。只有这样,单个 IP 地址才能充当其后面众多主机的网关。
假设两个子网:
- LAN A + 服务器
- 局域网络
有很多种方法可以设置它,它们在很大程度上取决于您拥有的设备以及它的功能。
一般来说,虽然你的互联网网关(可能是一台或多台设备)需要
- 充当进入 LAN A 的 IP 的流量的 NAT 网关
- 充当进入 LAN B 的 IP 的流量的 NAT 网关
- 将来自每个剩余公共 IP 的传入流量转发到其各自的服务器
您还需要确保 LAN A 和 LAN B 位于不同的交换机或 VLAN 上,这样可以将它们彼此完全隔离。
由于位于同一子网,子网 A 中的任何计算机都能够访问服务器,反之亦然。
子网 B 中的任何计算机都必须通过默认网关(您的 Internet 路由器)才能到达子网 A 中的任何设备。
路由器必须足够智能,支持不必将所有主机置于 NAT 之后 - 您的服务器无需参与 NAT。我相信大多数商用级设备都具备这一功能。
更多详细信息需要您对设置和设备有深入的了解。如果您不知道该买什么,您应该咨询网络专业人士。
更新(根据您的图表):
首先,如果您同意 LAN A 上的任何机器都能够与 LAN A 中的任何服务器通信,那么 LAN A '内'的路由器是不必要的。其次,除非您的电缆调制解调器具有路由功能(大多数都没有),否则您需要在电缆调制解调器后立即使用路由器。
标准非管理型交换机仅允许任何连接的主机与任何其他主机通信。管理型交换机具有 VLAN,可让您将端口分组到隔离的“VLAN”中,该 VLAN 可用作单独的“子交换机”。
正如上面所述,如果您不希望 LAN A 通过该交换机与 LAN B 通信,则该交换机需要支持 VLAN。
但是,路由器也需要支持并了解正在发生的事情。您面临的一个核心问题是,发往两个不同子网的流量通过一个网关(即电缆调制解调器)进入。
从概念上讲,您的路由器需要能够使用一个 VLAN 标记来自特定 IP 的流量,并使用另一个 VLAN 标记来自其他特定 IP 的流量。我对这种类型的硬件没有太多经验,因此无法向您指出特定设备的名称。
答案2
如果那是实际的机场基站,它就是一台路由器:它后面的主机将被隔离,并将属于不同的 RFC1918 网络,并且 WiFi 客户端发出的广播流量将不会传播。然后,取决于 MSO 如何将 /29 路由给您:
A) 您或许可以省去交换机,因为您需要路由器来接受流量并充当 /29 的网关,您将在其 LAN 接口上对其进行配置(并且 MSO 应具有静态路由以将 /29 发送到路由器的 WAN 接口,而这不一定是 /29 的一部分)
B) MSO 将在您的电缆调制解调器或其电缆路由器上配置您的 /29 网关,因此,/29 中的所有设备都必须连接到电缆调制解调器,中间无需路由器。
但无论哪种情况,您都可能需要为这项服务支付额外费用,其中必须包括网络管理员或工程师设置 /29 的时间,以及处理网络的持续支持。因此,咨询我们而不是他们可能会适得其反:我们只是猜测。他们必须知道以便为您提供连接。