我们刚刚获得了一项新的互联网光纤服务。我们的 ISP 为 WAN 提供了 /30,为 LAN 提供了 /29?我在设置新的 ISP 服务时从未见过这种情况。我总是被给予同一范围内的一组 IP 地址(如果需要)。因此,给出的 WAN 地址网关是从 ISP 分配给路由器的。因此,如果我将我们的 FW 设置为使用可用的 /30 地址(网关是他们的设备),我就可以上网了。
但是,我不确定如何设置他们给我们的 /29?我们为 Web 服务器/VPN 服务器/其他服务器请求了 5 个 IP。
这需要我们买一个路由器吗?我们通常使用我们的 FW(CISCO PIX 515)和 ISP 提供的路由器作为外部路由。但是,/30 和 /29 是不同的地址。
这是现在的常态吗?
答案1
虽然 TomTom 根据他对问题的解读是正确的,但原帖作者可能还提到了 ISP 所做的一种非常常见的配置。原帖作者称之为“LAN”IP,但实际上它们是分配给他的 LAN“设备”的 WAN IP。
例如:
ISP 将“WAN”分配给 /30:
ISP 端 = 1.1.1.1
路由器上的 WAN 端口 = 1.1.1.2
ISP 还会为 Exchange、FTP、Web 服务器等分配一小块可用地址。这是因为 OP/客户要求这样做。“我需要 5 个 IP,以便我的某些设备可以从互联网访问...”
已分配 /29 = 4.4.4.1 - 4.4.4.6
现在 OP/客户开始感到困惑。“4.4.4.x 如何路由到 1.1.1.2?我如何在路由器上进行设置...我不明白。为什么它们不都是同一子网块的一部分?”
ISP 会将 4.4.4.x/29 地址路由到客户端的 1.1.1.2 地址。然后由客户决定如何使用这些地址(通常是静态 NAT 或类似用途)。
因此,在客户路由器/防火墙上,您可以(例如)为 4.4.4.1 设置静态 NAT,以便内部 NAT 到 Exchange 服务器 10.10.10.15。然后“互联网”上的 Exchange 将是 4.4.4.1(根据需要使用适用的端口/方向策略/防火墙规则)。
对于 ISP 来说,这样做很常见(为“/30 WAN”和“客户的 LAN 设备的互联网 IP”分配不同的块)。
答案2
这应该是标准设置 - 基本上你应该在 /30 上放置一个路由器,然后他们应该将其他 IP 地址路由到该路由器。我通常不希望我的设备 IP(包括服务器)直接连接到 ISP。
过去 15 年左右,无论我做什么,总是有这种设置,而且我总是使用路由器/防火墙来处理流量。也就是说,我不会触碰 LAN 的这些地址(而是使用 NAT)——内部设备不需要自己的公共 IP。