我被赋予了一项任务,将目前位于一英里之外的多台开发服务器带回公司内部,并配置网络以容纳它们。到目前为止,我所做的只是将插孔 A 插入端口 B,所以我感觉有点迷茫。如果能给我指出正确的方向,我将不胜感激。如果我说的话有歧义或不合理的地方,请随时指出。
目前,我们有一台 ASA 5505、几台 Windows 服务器和一台 Linux 机器。其中一台 Windows 机器是 DHCP 服务器。办公室里的所有计算机都有主机文件,可以将方便的主机名映射到本地 IP。我们有五个外部 IP 块:一个是专用出站流量,一个是保留的,我可以自由地将剩余的三个路由到当前和新到的机器之间。
我对整个流程中的几乎每个步骤都有疑问:
- 我认为我应该让 ASA 通过一条电缆监听我们的外部 IP,然后通过另一条电缆将它们路由到本地 IP。这有效吗?
- 在选择将哪些机器路由到公共 IP 时,是否有一个好的做法可供遵循?
- ASA 可以作为 DHCP 服务器。是否存在我宁愿将该责任留给当前计算机的情况,该计算机将接收来自 ASA 的流量?
- 我们会在某个时候转换为 DNS 服务器,但现在我认为我必须修改主主机文件。主机文件中列出的所有内部机器都有本地 IP。这是否意味着我为到达的服务器提供静态本地 IP 并使其远离 DHCP 服务器?
提前感谢你的建议。你不知道这有多大帮助,即使只是通过互联网上的错误而不是服务器机房中的错误来学习……
答案1
- 是的。对于任何防火墙,请保持谨慎的内部和外部链接。稍后,您可以使用第三个链接作为 DMZ。
- 主要是保持理智。从外部看,您将拥有 3 个 IP,每个 IP 都有一个 DNS 名称,可能还有一些 DNS 别名。尝试将逻辑内容放在一起。所有邮件都在一个 IP 上,Web 和 ftp 以及其他数据服务都在 1 上。主要是这样从外部看才有意义,这样您就不会感到困惑。如果您可以访问外部 DNS,请自由使用别名,这样您就可以将服务从一个 IP 转移到另一个 IP,您就更不用担心了。
- 坚持使用服务器 DHCP。使用 Windows 或其他操作系统,您可以将 DHCP 绑定到 DNS,这样即使非静态机器也会显示在 DNS 中。
- 防火墙要传递流量到的任何地方都使用静态地址。
祝你好运!