我正在考虑尝试实现类似于下图的东西,并且需要知道如何实现。网络不是我的强项,所以请原谅我描述中的任何错误。
我有一个交换机/路由器,它正在与 ISP 进行 BGPing。连接到它的是一些无线 AP,我让一些人以站点的形式连接到这些 AP。站点设置了 VLAN 100 和一个公共 IP,在本例中为 1.1.1.2。网关设置在主路由器上,然后默认路由将该流量推送到 ISP。流程如下:1.1.1.2 连接到 AP(桥接模式),流量路由到主交换机网关 1.1.1.1。然后使用默认路由将 1.1.1.2 传递到 2.2.2.3,然后 ISP 从这里确定公共 IP 的路由。
我想开始使用 NAT,主要目的是为在 ipv6 上仍然无法实现的服务使用双栈和 NAT ipv4。我希望使用 mikrotik 或类似设备为少数人进行 NAT,但不要太密集。但是,与将设备物理连接到 mikrotik 相比,只将必要的流量路由到 mikrotik 似乎更简洁,因为不是所有人都会进行 NAT。
如果我使用例如 10.20.0.1/24 作为本地范围并将 CPE 设置为:IP:10.20.0.2 网关:10.20.0.1
将 mikrotik 设置为 10.20.0.1。理想情况下,流量将通过 AP 到达主路由器,然后到达 mikrotik,即本地 NAT 范围网关,此时,它将被 NAT 到公共 IP,即 1.1.1.3,然后路由回主交换机网关 1.1.1.1,最后像正常流量一样传到 ISP。
物理设置是否可行?有人能否告诉我实现以下目标的主要考虑点吗?
答案1
您的想法中的第一个问题是:Vlan 100 不能像您的图纸上那样有 2 个不同的 IP 范围,因此您需要选择 Vlan 100 是 10.XXX 还是 1.XXX,不能同时是两者。因此,我建议创建 2 个 Vlan,一个用于绿色客户端站,使用 NAT 进行私有寻址,另一个 Vlan 进行公共 IP 寻址。
现在您将需要 swp2 端口上的 2 个子接口。这将充当 2 个 VLAN 的默认网关,因此假设 swp2.1 子接口的地址为 1.1.1.1,swp2.2 的 IP 地址为 10.20.0.1。
现在在子接口 swp2.2 上,您设置 idk 它在 microtik 上的方式,但在 cisco 上命令是:“ip nat inside”,所以您说这是在网络内部,您将从这里转换地址(我跳过 ACL 或公共 IP 池配置)并且您选择端口 swp50 作为 ip nat 外部端口。
现在这应该可以工作了,至少在我的实验室里它可以工作,当具有公共 IP 地址的客户端跳过 NAT 时,具有私有 IP 地址的客户端会经过 NAT 转换。