我将网络与公共静态 IP(我的路由器的 NAT IP 地址)和 /29 子网(用于路由器后面的机器)连接起来。
在我的路由器上,我有:
#sh ip route | inc x.x
x.x.0.0/16 is variably subnetted, 3 subnets, 2 masks
C x.x.196.62/32 is directly connected, Dialer1
C x.x.206.72/29 is directly connected, BVI2
#sh run int dial 1 | inc zone
zone-member security out-zone
#sh run int bvi 2 | inc zone
zone-member security in-zone
区域对的限制相当严格。我想放宽首次通过远程访问 VPN 连接的客户端的限制:
#sh run int virtual-template 1
zone-member security relaxed-zone
现在,必须为通过 VPN 连接的客户端分配一个私有 IP 地址。(我没有为客户端分配公共地址,对吗?):
# sh ip local pool
Pool Begin End Free In use Blocked
RANET100 192.168.100.230 192.168.100.250 20 1 0
所以现在,如果我想从 192.168.100.230 向 xy206.73 发送一个数据包,那就没问题了 - 路由器有它需要的信息。但这意味着主机 xy206.73 必须允许从私有地址向其公共范围 IP 地址发送流量......它通常会配置为忽略这一点!
所以这是一次肮脏的黑客攻击,对吧?什么是 True Path (TM)?我是否应该将具有公共 IP 地址的主机多宿主,以便它们也拥有私有 IP 地址?
答案1
这种设置完全合理。请考虑一下:
您的“内部网络”由多个网络组成:
- 全局可路由的 /29
- 为 VPN 用户提供本地可路由的 /24
您的公共主机并不关心它是否从 RFC1918 地址获得连接,除非您这样配置它。让它发生就好了。
不需要配置其他IP。
答案2
“但这意味着主机 xy206.73 必须允许从私有地址到其公共范围 IP 地址的流量”
不会,这意味着一个主机会有两个 IP 地址,而这两个 IP 地址对整个互联网的路由期望却不同。
没有理由不在接口上放置多个 IP 地址;这是完全可能的,事实上,IPv6 几乎是通用的。只需确保您的传出连接地址选择规则为正确的任务使用正确的地址即可。