本地 IP 和公共 IP 在同一交换机上?

本地 IP 和公共 IP 在同一交换机上?

标题中几乎全部都是这样。是否可以将本地 IP 和公共 IP 分配给连接到同一交换机的不同节点?

我有 4 台服务器,每台都有 2 个千兆以太网端口。我希望每台服务器中有一个端口有公共 IP,其余端口有本地 IP,用于服务器到服务器的通信。

编辑:

我之所以要这样做,是因为我的交换机比我们公司面向公众的路由器低几级,我不想让只需要从 4 个服务器中的一台到另一台的流量堵塞其他交换机和路由器。公共流量将很少,但服务器到服务器的流量将很大。

编辑2:

我刚刚与我们的提供商确认(我们租用机架空间):我无法访问任何上游 NAT 硬件。我们只有一个 IP 范围和几个交换机,这些交换机无法重新组织,因为其他客户也在使用它们。所以现在,我的选择似乎是:

  1. 理想的:购买具有 NAT 功能的防火墙/路由器,并在当前交换机下配置每个服务器上的 NIC 绑定到本地 IP,然后路由器会将公共 IP 转发到本地 IP。
  2. 便宜的:将交换机划分为 2 个 VLAN,以划分公共/本地 IP 范围。交换机确实支持 802.1q VLAN。

我们目前将使用 2,如果带宽需求增加,将来可能会切换到 1。感谢大家的建议。

答案1

它是可能的,但事实并非如此建议,尤其是当有更好的方法时。

首先,交换机不关心您的 IP 地址,它们关心您的 MAC 地址。它们是“第 2 层”设备。IP 地址是第 3 层,因此它们与交换方面几乎没有关系。

为了确保我已正确了解您的基础架构,您有服务器 A、B、C 和 D。每台服务器都有 2 个 NIC。您想在每台服务器上使用 NIC#1,并为其配置面向互联网的外部 IP 地址,然后在每台服务器上使用 NIC#2,并为其配置私有 IP?

此时我必须问为什么。

如果用于专用带宽,最好将 NIC#1 和 NIC#2 绑定为一个逻辑接口,这样可以使带宽加倍。

如果是为了安全,那么你必须提供更多信息,因为在具有公共网络连接的交换机上使用私有 IP 不会增加安全性。你不会向互联网广播任何内容*,但同时,任何网络都会从私有 IP 块上的网卡广播(例如 ARP/RARP 请求等)将要发送到您的上游路由器。它不会转发它们或做出响应,但它肯定不会为您做任何事情。

(* — 无论如何,可能不是)

现在,如果您仍然有安全意识,为什么不在交换机上使用 VLAN 将外部网络与内部网络隔离开来呢?VLAN 将创建两个逻辑交换机*,这将防止您的第 2 层广播信息泄露给路由器,并且通常,将“私有”网络隔离到不同的逻辑第 2 层网络是更好的选择。

(* - 我简化了,但本质上它就是这样的)

答案2

在某些情况下,如果交换机是具有 802.1q VLAN 标签支持的相对现代的交换机,我可以这样做。

我将为公共流量创建一个 vlan,为私有流量创建一个 vlan,并使用私有地址来处理私有流量。将一组端口放入一个 vlan(全部未标记),将另一组端口放入另一个 vlan。

将您的公共接口/地址放入一个 vlan,然后将私有地址放入另一个 vlan。

请注意,如果任何面向公众的计算机被入侵,您将向该根计算机公开私有网络上其他主机的私有接口。您应该全部在设置和审查安全模型时,这些接口被视为不可信。

稍微思考一下——vlan 模型与设置 IP 地址别名并将所有内容放入同一个广播域/vlan 大致相同。在某些方面,它甚至更好,因为您可以在计算机和交换机之间执行 LACP,并获得更好的性能和链路冗余。但我仍然不会这样做,因为依靠路由器/防火墙将流量丢弃到 RFC1918 空间是很难看的。

答案3

我之所以要这样做,是因为我的交换机比我们公司面向公众的路由器低几级,我不想让只需要从 4 个服务器中的一台到另一台的流量堵塞其他交换机和路由器。公共流量将很少,但服务器到服务器的流量将很大。

服务器到服务器的流量不会神奇地“流”到上游到其他交换机,因为所有四台服务器都在同一个交换机上(除非它们位于中继上游到另一台交换机的 VLAN 上,但您没有提到类似的事情)。

如果您预计会出现一些主要的服务器到服务器流量,我只需进行 NIC 绑定,为绑定接口提供内部 IP,然后使用 NAT/端口转发来允许公共访问。

答案4

这应该是可行的,具体取决于您的互联网连接,但我不建议这样做。您将面临各种安全风险。最重要的是,您将向互联网广播内部广播。您的 Internetrouter 将成为这些广播的边界。但如果它不在您的控制之下,我对此并不满意。

但我怀疑您的设置会有什么好处。因为您的交换机将成为吞吐量的限制。您可以专门使用公共 IP(使用加密流量!)。这种配置背后的原因是什么?

相关内容