由于一系列糟糕的网络设计决策(大部分)许多几年前,为了节省一点钱,我的网络架构显然不够理想。我正在寻找改善这种不愉快情况的建议。
我们是一家非营利组织,拥有基于 Linux 的 IT 部门,预算有限。(注意:我们所运行的 Windows 设备均不与互联网通信,我们也没有 Windows 管理员。)
关键点:
- 我们有一个总部和大约 12 个远程站点,这些站点基本上使用物理隔离的交换机对其子网进行双重 NAT。(当前交换机不支持 VLAN,而且 VLAN 能力有限)
- 这些位置有一个“DMZ”子网,每个站点的 10.0.0/24 子网都经过 NAT 处理。这些子网无法与任何其他位置的 DMZ 通信,因为我们不会将它们路由到服务器和相邻“防火墙”之间的任何地方。
- 其中一些位置有多个 ISP 连接(T1、电缆和/或 DSL),我们使用 Linux 中的 IP 工具手动路由这些连接。这些防火墙都在 (10.0.0/24) 网络上运行,并且大多是“专业级”防火墙(Linksys、Netgear 等)或 ISP 提供的 DSL 调制解调器。
- 连接这些防火墙(通过简单的非管理型交换机)的是一台或多台必须可公开访问的服务器。
- 连接到总部 10.0.0/24 子网的是电子邮件服务器、远程办公 VPN、远程办公室 VPN 服务器、到内部 192.168/24 子网的主路由器。这些必须根据流量类型和连接源从特定 ISP 连接进行访问。
- 所有路由都是手动完成或者通过 OpenVPN 路由语句完成的
- 办公室间流量通过主“路由器”服务器中的 OpenVPN 服务,该服务器具有自己的 NAT。
- 远程站点每个站点只安装一台服务器,由于预算限制,无法承担多台服务器。这些服务器都是LTSP服务器,有5-20个终端。
- 192.168.2/24 和 192.168.3/24 子网大部分(但并非全部)位于可以执行 VLAN 的 Cisco 2960 交换机上。其余的是 DLink DGS-1248 交换机,我不确定我是否足够信任它们用于 VLAN。内部还存在一些关于 VLAN 的担忧,因为只有高级网络工作人员才了解它的工作原理。
所有常规互联网流量都会经过 CentOS 5 路由器服务器,该服务器根据手动配置的路由规则将 192.168/24 子网 NAT 为 10.0.0.0/24 子网,我们使用该路由规则根据“-host”路由语句将出站流量指向正确的互联网连接。
我想简化这个过程,为 ESXi 虚拟化做好一切准备,包括这些面向公众的服务。有没有一种免费或低成本的解决方案可以摆脱 Double-NAT,让这个混乱局面恢复一点理智,这样我未来的替代者就不会追捕我了?
主办公室基本图表:
以下是我的目标:
- 面向公众的服务器,其中间 10.0.0/24 网络上的接口将移至 ESXi 服务器上的 192.168.2/24 子网。
- 摆脱双重 NAT,将整个网络置于一个子网中。我的理解是,无论如何,这是我们在 IPv6 下需要做的事情,但我认为这种混乱阻碍了我们前进。
答案1
1.) 首先,先理顺您的 IP 寻址计划。重新编号很麻烦,但这是实现可行基础设施的必要步骤。为工作站、服务器、远程站点(自然具有唯一 IP)、管理网络、环回等留出足够大、易于汇总的超级网络。RFC1918 空间很大,价格也合适。
2.) 根据上图,很难了解如何在网络中布置 L2。如果您的各个网关中有足够的接口数量以及足够的交换机数量,则可能不需要 VLAN。一旦您了解了 #1,单独重新处理 L2 问题可能很有意义。话虽如此,VLAN 并不是一组特别复杂或新颖的技术,也不必那么复杂。一定数量的基础培训是必要的,但至少能够将标准交换机分成几组端口(即无需中继)可以节省大量资金。
3.) DMZ 主机可能应该放置在它们自己的 L2/L3 网络上,而不是与工作站合并。理想情况下,您应该将边界路由器连接到 L3 设备(另一组路由器?L3 交换机?),然后该设备将连接包含面向外部的服务器接口(SMTP 主机等)的网络。这些主机可能会重新连接到不同的网络或(不太理想)连接到公共服务器子网。如果您已正确布置子网,那么引导入站流量所需的静态路由应该非常简单。
3a.) 尽量将 VPN 网络与其他入站服务分开。这将使安全监控、故障排除、会计等工作更加轻松。
4.) 如果不整合 Internet 连接和/或通过多家运营商路由单个子网(即 BGP),您将需要边界路由器之前的中间跳跃,以便能够适当地重定向进出流量(我怀疑您目前正在这样做)。这似乎比 VLAN 更令人头疼,但我想这都是相对的。