提前为术语的失误道歉。我已经读过服务器故障子网 Wiki但这更像是一个 ISP 问题。
我目前有 /27 个公共 IP 地址块。我将此地址池中的第一个地址提供给我的路由器,然后对防火墙后面的所有服务器使用 1 对 1 NAT,这样它们各自都有自己的公共 IP。
路由器/防火墙当前正在使用(实际地址已被删除以保护有罪者):
IP Address: XXX.XXX.XXX.164
Subnet mask: 255.255.255.224
Gateway: XXX.XXX.XXX.161
我想做的是将我的子网分成两个独立的 /28 子网。并以对 ISP 透明的方式执行此操作(即,他们认为我继续操作单个 /27)。
目前,我的拓扑结构如下:
ISP
|
[Router/Firewall]
|
[Managed Ethernet Switch]
/ \ \
[Server1] [Server2] [Server3] (etc)
相反,我希望它看起来像:
ISP
|
[Switch]
/ \
[Router1] [Router2]
| | | |
[S1] [S2] [S3] [S4] (etc)
正如您所看到的,这会将我划分为两个独立的网络。
我正在努力弄清楚路由器 1 和路由器 2 上的正确 IP 设置应该是什么。
以下是我现在所拥有的:
Router1 Router2
IP Address: XXX.XXX.XXX.164 XXX.XXX.XXX.180
Subnet mask: 255.255.255.240 255.255.255.240
Gateway: XXX.XXX.XXX.161 XXX.XXX.XXX.161
请注意,通常您会期望 Router2 的网关为 .177,但我尝试让它们都使用 ISP 最初提供给我的网关。
这样的子网划分实际上是否可行,或者我是否完全搞错了最基本的概念?
--
编辑
有几个人问过“为什么”。我想这样做有几个具体的原因:
我的路由器/防火墙每 6-8 周就会锁定一次。我使用过一系列设备:NetGear FVS318,Linksys RV042,Watchguard Firebox Edge X20e,以及思科 ASA 5505。所有设备都发生了同样的问题,这显然是由于设备管理的十几个 IPSec VPN 隧道造成的。每当设备锁定时,网络工程师都需要对设备进行物理电源循环。
我有一个大客户,机柜中大约一半的服务器是他们的。我希望该客户能够自己管理防火墙和 VPN 规则,而不是通过我。这样,我会给他们 Router2 的 root 访问权限,他们可以自己管理一切,而不会给 Router1 造成任何问题。
答案1
如果您不使用 NAT,即如果您想要实际进行路由并将真实服务器放在这些 IP 地址上,那么您就无法以对您的提供商透明的方式对您的网络进行子网划分;他们将需要修改其路由器配置和路由表以适应您的新网络设置,可能会为您提供两个网关地址和/或两个路由器(或者,如果您将一个子网“放在”另一个子网“后面”,并将防火墙放在中间,则需要设置一条新路由)。
但是,如果您继续使用 NAT,并简单地将一半地址提供给防火墙,将另一半地址提供给另一个防火墙,那么它们的外部 IP 将在您的 ISP 看来仍然属于单个子网,并且一切都将正常工作。
答案2
一切看起来都完全正确。请注意,服务器将使用 .240 网络掩码和 .164 或 .180 作为网关。但是,您确定要在子网上浪费两个 IP 吗?您必须保留 .160 和 .176 作为网络地址,保留 .175 和 .191 作为广播地址。如果您不进行子网划分,则不必这样做,因此 .175 和 .176 可以作为主机。
答案3
ISP
|
|
| assumes that this link is not part
| of x.x.x.160 /27
|
|
[Router] This router will need three routed ports
/.161 \ .177
/ \
[Switch] [Switch]
| | | |
[S1] [S2] [S3] [S4] (etc)
答案4
是的,您应该能够将 cxx160/27 拆分为 xxx160/28 和 xxx176/28。您可能必须让 Router2 使用 Router1 作为下一跳,可能的做法是,在它们之间建立点对点链接,并使用私有范围之外的 /30 作为链接。
此外,将 /27 拆分为两个 /28 会导致可用 IP 地址减少。
如果您能告诉我们为什么您想要分手,那么也许还有其他选择可以实现您的目标。