在一个非常大的公司网络中,整个公司网络由许多不同的子网组成,所有子网都在私有 IP 空间内。当然,有许多路由通往公共 IP 域,但私有网络内的给定数据包可能从 10.0.0.0 网络路由到 192.168.0.0 网络,到达 172.16.0.0 目标。显然,只要路由按预期工作,这一切都会顺利进行。
我的问题是如何在这个网络内的 NAT 后面实现一组隔离的硬件。如果 NAT 网络使用的 IP 地址位于私有空间中,而该地址也存在于公司私有超级网络的其他地方,那么我是否正确地预见到了潜在的问题?我猜大多数流量都会正常工作 - 除非它恰好需要通过与原点或目的地相同的子网进行路由,对吗?
答案1
是的,您可能已经预料到了问题,但是总体来说它应该可以正常工作。
当您将设备置于 NAT 后面时,只要 IP 地址是唯一的,IP 地址就无关紧要。然而,这可能会造成一些问题。
如果网络的另一部分 IP 与您的 NATTED 网络处于同一范围内,您将无法与其通信,因为您的网络不会将其路由出网关。同样,NAT 网络之外的机器也无法访问它,这可能是理想的,也可能会让远程管理员感到沮丧。
答案2
在此网络内的 NAT 后面实现一组隔离的硬件。
因此,从网络其余部分的角度来看,来自这组硬件的所有传出连接似乎都来自执行 NAT 的路由器。此路由器将至少在现有网段中的一个网段中拥有地址,并且这些网段应该具有唯一的前缀。
如果 NAT 网络使用的私有空间中的 IP 地址也存在于企业私有超级网络的其他地方,那么我是否正确地预见到了潜在的问题?
所以这不是问题。
我猜测大多数流量都会正常工作 - 除非它恰好需要通过与原点或目的地相同的子网进行路由,对吗?
不是,因为在穿过子网时,子网看到的 IP 地址是路由器的 IP 地址。
你将要有问题的是(1)进入 NAT 的传入连接(这是不可能的,尽管你可以在至少一些 NAT 机器上设置端口转发),以及(2)来自 NAT 的传出连接太多,这将溢出 NAT 路由器中的转换表。