我之前问过这个问题网络工程但是我的问题被搁置了,他们建议我以超级用户身份尝试,所以我来了。
我正在为一个企业规划一个小型网络,如下图所示:
为了提供更多信息,IP 1.2.3.4/29 是我们的 ISP 提供的静态外部地址。FRITZ!Box 和 OPNsense 路由到/通过其 172.16.0.0/16 网络。OPNsense 在其 LAN 接口上有另一个 192.168.0.0/24 网络。此网络中有一个可管理的交换机和一个托管虚拟机的服务器。通过服务器的虚拟机管理程序 (Proxmox VE) 为虚拟机提供 IP 地址。
我的问题很简单,您认为这种设置有效吗?顺便说一句,这样做的目的是能够通过远程桌面解决方案从互联网访问虚拟机。
谢谢您的宝贵意见/回答。
问候,大卫
更新:我更改了图片和描述以更好地适应正确的解决方案和您的贡献。
答案1
1)每个连接(图片中的一条线)用于连接来自同一子网的 2 个具有不同 IP 地址的设备。
2)拥有 2 个或更多接口的每个设备(虚拟机除外)的每个接口都有一个单独的 IP 地址,该 IP 地址来自整个方案唯一的不同子网。
因此您的方案可能看起来像(据我了解,您的服务器有 4 个独立的 NIC - 一个 WAN 和 3 个通过单独的跳线连接到虚拟机):
Internet
|
1.2.3.4
Router
172.16.0.1/24
|
172.16.0.2/24
firewall
192.168.255.1/24
|
switch (192.168.255.3/24)
|
192.168.255.2/24
WAN NIC
Server
NIC1 NIC2 NIC3
192.168.1.1/24 192.168.2.1/24 192.168.3.1/24
| | |
192.168.1.2/24 192.168.2.2/24 192.168.3.2/24
VM1 VM2 VM3
交换机在路由方案中没有自己的IP地址,其IP仅用于管理。
此外:路由器和防火墙应该分别通过 172.16.0.2 和 192.168.255.2 具有到 192.168.0.0/22 的路由。
更新:如果您的调制解调器是一个简单的接口转换器,而不是路由器,它将没有地址,而 1.2.3.4 将是防火墙的 WAN 接口的地址。在这种情况下,防火墙必须作为 NAT 路由器运行,而不是简单的路由器。