我有一个来自 ISP 的网络,由八个 IP 地址 (/29) 组成。假设它是 1.1.1.0/29。ISP 的网关是 1.1.1.1。这个网络应该分开,以便两个不同的公司可以使用,并且两个网络彼此隔离。此外,两家公司都需要外部 IP 地址。不幸的是,使用 NAT 是不可能的。
我可以拆分这个 /29 网络,以便为两家公司分别分配一个 /30 网络吗?或者更准确地说:是否可能出现以下情况:
- 公司 1 和公司 2 均需连接到互联网
- 有一个可管理的网络交换机可用,可以有 VLAN
- 公司一:
- 公司 1 的防火墙的 IP 地址为 1.1.1.2
- 公司 1 的子网掩码为 255.255.255.252
- 公司 1 的默认网关是 1.1.1.1
- 公司2:
- 公司 2 的防火墙的 IP 地址为 1.1.1.6
- 公司 2 的子网掩码为 255.255.255.252
- 公司2的默认网关是1.1.1.5(这是交换机上的VLAN接口地址)
- 转变
- 交换机上配置了两个VLAN
- 在 VLAN 1 上,有来自 ISP 的上行链路和所连接的公司 1 的防火墙。
- VLAN 1 没有接口地址。
- 在 VLAN 2 上,连接了公司 2 的防火墙
- VLAN 2 的接口 IP 地址为 1.1.1.5/30
- 路由表:
- 0.0.0.0/0 下一跳:1.1.1.1(这是与互联网的连接)
- 1.1.1.0/30 VLAN-1
- 1.1.1.4/30 VLAN-2
这样的设置可行吗?是否可以将一个公共 /29 IPv4 网络拆分为两个公共 /30 IPv4 网络,并将上传地址置于两个子网之一中?
答案1
这绝对是可能的,但如果重新配置 ISP 网关以直接将两个 VLAN 作为 /30 来处理,那就最容易了。(从技术角度来看,这应该是一个非常简单的更改 - 至少我希望从企业级路由器开始 - 困难的部分是让 ISP 真正做到这一点。)
(如果将 ISP 网关重新配置为路线整个 /29 通过您自己的路由器路由交换机。然后您的路由器交换机可以对这些数据包进行任何它想做的事情。
最后,在无需 ISP 合作的情况下拆分网络在技术上也是可行的。但是,只要 ISP 网关认为它是 /29 子网的一部分,它就会发出 ARP 查询全部/29 中的地址。如果你将其中一半移到另一个路由器后面,某物仍然需要回答那些 ARP 查询!
这意味着你的第二个网关(1.1.1.5 路由交换机)需要与 ISP 的网关相连——它需要运行代理ARP在 VLAN 1 上并代表整个 1.1.1.4/30 回答 ARP 查询。
答案2
不要划分子网。将 1.1.1.2 和 1.1.1.3 分配给第一家公司,将 1.1.1.4 和 1.1.1.5 分配给第二家公司,1.1.1.6 将作为您的“热保留”。
在这种情况下,您的路由器必须充当透明桥。此外,不需要路由器,普通的 L3 转换器就足够了。
如果您想禁止公司间访问(正式来说这是非法的,您没有任何凭证来过滤互联网流量)那么您可以根据路由器上的拒绝防火墙规则进行过滤。