控制小型子网上的流量

控制小型子网上的流量

我有一个小型网络,配有一个商务级有线调制解调器。我为调制解调器的内部分配了一个 *.192/29 块。第一个可用的 IP,.193,分配给有线调制解调器接口。我无法访问有线调制解调器上的配置 - 它属于 ISP。

在我看来,我有两个选择。一个是将 /29 划分为两个 /30。这样做的问题是,它将为我提供两个本质上的点对点连接。调制解调器上的 .193 连接到路由器上的 .194,然后路由器上另一个接口上的 .197 连接到使用 .198 的设备。一旦我这样做,我的 IP 就用完了,除了路由器之外,我只有一个设备在线。

另一种选择是将调制解调器和任何其他设备放在路由器之前的公共段上。(这是我目前的设置,使用带有 NM-16 交换模块的 Cisco 2651XM 路由器。)这允许我使用 .194 到 .198 作为活动设备。我遇到的问题是,我无法在流量上放置防火墙访问列表。我有一台运行在 IP .195 上的服务器。从互联网到该服务器的流量来自调制解调器上的 .193,直接进入 .195,保持在交换模块上的单个 VLAN 内。连接调制解调器的接口是第二层端口,不会采用 ACL。它不通过路由接口,因此不会通过任何访问列表。服务器对互联网完全开放,无法控制进入它的流量。我不太熟悉 VACL,它可能有用,但它们似乎只在高端交换机上受支持,并且在 NM-16 上不可用。

一种可能的解决方案是在服务器上放置一个私有 IP,并使用 NAT 将互联网流量发送到服务器,但这会导致内部设备尝试访问服务器时出现问题,因为它们的流量不会通过外部 NAT 接口进入。这似乎应该是一个常见问题,但我在网上找不到任何讨论它的内容。我是否遗漏了一些简单的东西?

答案1

为什么不在内部(包括在服务器上)使用 RFC 1918 地址,并根据需要将流量通过 NAT/端口转发到内部主机,您似乎建议将其作为潜在解决方案之一?内部主机需要在服务器上访问什么,以至于它们无法在内部使用 RFC 1918 地址并对服务器进行 NAT/端口转发?

答案2

要求 ISP 将调制解调器更改为桥梁而不是路由器,并将您的公共 IP 放在您自己的设备上,以便您可以将它们转发到您需要的任何地方。

相关内容