网络大师,
这似乎合乎逻辑且可行,但希望听取专家的建议。我们的数据中心的单点路由为 /26。
我们的一些应用服务器 (A) 需要公共 IP 地址,因此需要这么多地址。旧设置中的这些服务器 [路由器 -> 托管交换机 (VLAN) -> 单个 LAN 交换机/VLAN] 位于单独的 VLAN 上,并且我们已通过数据中心提供商将专用的 /24 端口连接到托管交换机。此外,主要应用程序 (B) 位于 FW 后面,该 FW 具有单独的 /27 端口,LAN 端口满足了我们的需求(LAN 端口也通过私有 VLAN 上的同一托管交换机进行切换)。
我们正在迁移数据中心,这一次,我考虑的不是采用双路解决方案,而是在路由器前面安装基本的哑交换机/集线器或在路由器前面安装托管交换机。路由器/防火墙将服务于我们的主要应用程序 (B),而其他需要面向公众的 IP 的应用程序服务器则从同一交换机获取。哪种解决方案更好?
另一种选择是我们的路由器也有 dmz 端口和多 1:1 NAT 功能。我可以在 WAN 端口上创建虚拟接口,其中 IP 子范围与 dmz 本地 IP 范围进行 1:1 NAT。在这种情况下,我是否必须为这些服务器创建策略路由 (SNAT) 才能出去?
谢谢
普尔维什
答案1
在服务提供商边缘是否使用路由器或交换机通常取决于向您提供 IP 范围的方式。
提供商通过“上游网关”为您提供的地址范围,并且您端没有路由配置必须具有与网关的第二层连接(或模拟为第二层连接;参见代理 ARP),以便数据包可以流动。当数据包到达上游路由器时,它会假定目标地址位于本地 L2 网段上,并且只需为其进行 ARP 即可。这意味着您需要为地址空间的所有消费者配备一个交换机(或其他 L2 网络)。这并不意味着一切有但是,如果您在您的终端放置一个路由器并在其上运行代理 ARP,您仍然可以在流量到达目的地之前对其进行 L3 过滤(防火墙);您只是有一个更复杂且更难以调试的网络环境。
由于这对于较大的网络块来说可能是一项艰巨的任务,因此这种情况通常只发生在较小的网络块或不知道自己在做什么的提供商身上。在城市的大头,您通常会在服务提供商的路由器和您的路由器之间获得非常小的范围(甚至是点对点链接),并且所有额外的网络块都将路由到您的路由器通过那个地址。
例如,如果您被分配了192.0.2.0/25
大块 IP 地址,那么您还将获得较小的分配(例如192.0.2.192/29
),并被告知“上游网关是” 192.0.2.193
。然后,您将路由器(当然是 HA 对)配置为具有 IP 地址192.0.2.194
和192.0.2.195
,并将192.0.2.196
HA IP 配置为该对中的一个路由器将在任何给定时刻“控制”的 IP。然后,您告诉服务提供商,“请将我的大块 IP 路由到192.0.2.196
,然后任一路由器都可以处理流量,具体取决于当时哪个路由器有发言权。
这种方法的另一个有用的好处是可以将多个块路由到同一个 IP,从而减少在同一 L2 段上进行大量繁琐的网络配置所带来的麻烦。还不必在网络和广播地址上浪费块的第一个和最后一个地址,因为从这个意义上讲,您实际上并不是在“划分子网”,而只是路由地址空间块。
答案2
对于感兴趣的人,
我采用的解决方案更简单、更好。我决定采用 SNAT 路由选项,而不是在路由器前面放置交换机并在那里分割网络或单独丢弃。我们的路由器支持多 1:1 NAT,必须配置 SNAT 策略(策略路由),将内部 IP 替换为外部 IP。这样做的最大好处是服务器位于防火墙后面,而不是 DMZ 后面。这种方法的唯一缺点是防火墙会阻止这些服务器访问 LAN 内的任何资源。我们只从 WAN IP 向这些服务器开放必要的端口,并阻止这些服务器对 LAN 服务器的所有访问,这样我们就有效地创建了严密的安全系统,既能享受 DMZ 的好处,又能保证防火墙的安全。