我确实对网络有所了解,但是在康卡斯特周四来安装之前,我在脑子里想了想如何让它工作,却遇到了一些困难。
目前,我们拥有一个动态 IP 的 AT&T DSL,因此我使用 dyndns 来运行网页、SharePoint 站点、帮助台站点和电子邮件,所有这些都通过 Linksys 千兆无线路由器使用端口转发。我们还有一个小型域,其中有大约 10 个工作站。我们将获得康卡斯特商务舱和 5 个静态 IP
我的问题是试图弄清楚如何让使用公共 IP 的计算机能够与位于 Linksys 路由器后面的 DC 通信。从我读过的内容中,我知道我可以只允许一个公共 IP 通过康卡斯特路由器传递到我的 Linksys 路由器,然后生活就会像现在一样正常进行。但是,一旦我将我们的 Web 服务器(由于我们有一些需要 AD 用户名/密码的应用程序,它需要与 DC 通信)从 Linksys 路由器后面移出并为其提供一个公共 IP,我认为它将无法通过路由器与 DC 通信。DC 还运行着我们的 DHCP 服务器。
为了实现这一点,我是否需要放弃使用 Linksys 路由器的想法,而只使用 Comcast 路由器/网关?如果我这样做,我可以让 DC 在我们的私有 192.168.5.* 范围内提供 IP,并在公共空间中也提供 IP?这样可以吗?
目前,linksys 路由器仅允许我将端口 80 或 443 转发到一个 IP,我假设 comcast 路由器将允许我将 80 转发到它想要去的任何公共 IP?
抱歉,如果我让这件事变得更令人困惑,那它就没有必要了,但我实在想不通!
答案1
听起来最好的方法是将 Comcast 调制解调器/路由器置于桥接模式,然后获取企业级路由器/防火墙(我喜欢 Sonicwall),并使用静态 IP 地址配置 WAN 接口。在 Sonicwall 上的防火墙和 NAT 规则中,设置端口(Sonicwall 实际上有一个方便的向导可用于此操作):
- 8.2.3.4 端口 80/443 连接至 Web 服务器 1 (192.168.1.10)
- 8.2.3.5 端口 80/443 连接至 Web 服务器 2 (192.168.1.11)
- 8.2.3.6 端口25通往电子邮件服务器(192.168.1.12)
- ETC。
这将允许您基本上保持防火墙后面的所有内容保持不变(无需更改 DHCP 或使用 wan IP 配置服务器的 NIC)。
其他几点:
- 如果可能的话,请将所有东西都放在防火墙后面。听起来你不需要将 Web 服务器移到防火墙前面,所以不要这么做。将其移到防火墙前面会使 Web 服务器更容易受到黑客攻击,并且会大大增加 AD 与 DC 之间的通信难度。我们可以就 DMZ 和 AD 通信以及什么是可能的和什么是不可能的展开大讨论,但对于你的情况,听起来保持一切原样并按上述方式进行端口转发是合乎逻辑的。
- 我从不依赖 ISP 的设备做任何事情,除了提供连接接口(即仅仅是调制解调器)。他们的路由器通常质量低于标准,缺乏功能,支持不佳。尽可能将 ISP 的调制解调器/路由器桥接到您自己的设备。我在全国各地设立了办事处,有机会与许多不同的 ISP 合作。我发现最好让 ISP 设备尽可能愚蠢,并使用您自己的设备进行所有防火墙、端口转发、广域网 IP 配置等。例如,使用 sonicwall,您可以利用 sonicwall 的所有支持资源来实现您需要的任何东西,而不是依赖 Comcast 1-800-WHO-CARES 来尝试配置本月的 Comcast/Time-Warner/Verizon/AT&T 路由器版本。只需将 ISP 调制解调器/路由器置于桥接模式,您就完成了与他们设备的处理。
答案2
“影响最小”的方法可能是使用可以服务多个公共/WAN IP 的 NAT 路由器 - 无论是通过 Comcast 设备(如果它具有您需要的功能)还是通过 Linksys 的替代品。这将允许您同时为每个 Internet/WAN IP 指定每个 IP 到端口的映射,因此您当前的内部 IP 计划可以保持不变。
答案3
TommyB,我和你对康卡斯特的立场很接近。我从事 IT 工作,使用康卡斯特家庭服务,运行 Windows 服务器,包括 Exchange 电子邮件。我的 25 端口一直被阻止,所以我换成了商务舱。我还使用动态 DNS,中间有一个 SonicWALL 防火墙。
当他们安装带有小型交换机的商务级调制解调器/路由器时,很早就发现新调制解调器无法工作,因为它无法处理桥接,因此它一直向我的 SonicWALL 的 WAN 接口提供 192.168.xx IP 地址,并且该地址被报告给我的动态 DNS 提供商,因此我有三个选择:
- 花费高昂的费用购买静态 IP(然后可以将其置于桥接模式)
- 放弃 SonicWALL(在你的情况下是 Linksys),并使用他们的调制解调器作为防火墙,这并不吸引人,因为它的功能非常有限
- 或者简单地将商务级调制解调器换成可以桥接的家用版,但要确保他们将我的 IP 保持在商务级范围内。
我还必须使用他们的智能主机以及我的用户名和密码来中继电子邮件。
我选择了后者,并且已经用了一年多,但既然你已经承诺使用静态,请询问他们是否可以将其置于桥接模式。你可能需要将 Linksys 升级为功能更强大的防火墙。
另外,如果您同意将 Comcast 调制解调器/路由器用作防火墙,它还可以执行 1 对 1 NAT(以及端口转发),从而允许您使用多个外部 IP 并将它们映射到内部服务器。