在双 WAN 路由器中通过 WAN2 隧道传输 SSH 和数据库端口

tag-icon tag-icon local-area-network internet gateway wide-area-network unifi
在双 WAN 路由器中通过 WAN2 隧道传输 SSH 和数据库端口

ISP-A:4mbps(1:1) 光纤专线静态 IP 地址和ISP-B:20mbps(1:8)具有动态 IP 地址的光纤连接。

情况背景不太清楚,目前我们只有一个 ISP(ISP-A),由于带宽不足以满足所有人的需求(大约 25 人浏览和访问 AWS/Azure),所以我们的计划是在我们的本地网络中添加另一个 ISP,这样每个人都可以浏览/发送邮件而不会抱怨带宽问题。ISP-B 的成本低于 ISP-A 的 20mbps,因为它不是 1:1 连接,而且他们与我们没有任何 SLA。我们的办公室分为开发人员和非开发人员用户。

开发用户

  • 大部分通过 LAN 连接,3 部分通过 WiFi 连接
  • 连接到 AWS/Azure(需要作为实例的传入防火墙策略的固定 IP 连接)。
  • 需要浏览互联网(此时 IP 是否固定无关紧要)。他们中的大多数人使用 SO/Git/Bitbucket/YT 等。

非开发用户

  • 大部分使用 WiFi,3 部分使用 LAN
  • 浏览互联网、使用邮件/hangouts/skype/teamviewer,无论使用什么都不需要任何静态 IP。

一旦我们获得第二个 ISP-B,我希望将所有浏览流量引导到 ISP-B(20mbps),并且所有开发人员都通过 ISP-A(4mbps)连接到 AWS/Azure 进行 SSH。所以我的计划是将 ISP-A 设置为 WAN1,将 ISP-B 设置为 WAN2,例如:

WAN1 172.16.0.1
WAN2 172.16.1.1

需要做的是,每个人都通过 ISP-B 使用互联网。开发人员使用 SSH(端口 22)、数据库连接(端口 5432)和一些需要通过 ISP-A 静态 IP 的其他端口。

使用中的设备

  1. CISCO SG300-58 管理型交换机
  2. TP-Link 单 WAN 路由器
  3. 3 个 Ubiquiti Unifi AP

建议采购的设备

  1. Ubiquiti USG-Pro4(实现双 WAN)
  2. 2 倍以上的 Ubiquiti Unifi AP

开发人员总数:10 非开发人员总数:25

不用更改他们的默认网关,我怎样才能让他们通过 WAN2 使用互联网(浏览)而无需设置代理服务器?

答案1

所以我使用 USG-Pro-4 完成了这个。

需要通过 SSH 实现自定义规则,因为现阶段管理这些规则的 UI 还不完整。

想法是通过 WAN2 发送端口 22,5432,并将互联网流量保留在 WAN1 上。

设备

  1. Cisco-SG300-52-执行 DHCP-172.16.0.1
  2. Unifi USG-Pro-4 - 双 WAN 路由器 - 172.16.0.5/16
    1. WAN1:192.168.1.2 上的光纤复用器
    2. WAN2:- 192.168.2.1 上的光纤到 LAN 媒体转换器
  3. Unifi AP - 3x Nos,通过 DHCP 获取地址,unifi 控制器用于管理组/SSID 等。

实施概述

  • LAN1:172.16.0.0/16
  • WAN1:192.168.1.2/29 网关:192.168.1.1
  • WAN2:192.168.2.2/29 网关:192.168.2.1

从 LAN1 端口 22 和 5432 发出的所有流量都通过 WAN2 发送,使用 USG-Pro-4 上的以下规则,这允许通过 20mbps 线路进行浏览,并且所有与数据库相关的工作和 SSH 都通过 WAN2(静态 IP)进行。

USG-Pro-4 的示例配置

configure
set protocols static table 1 route 0.0.0.0/0 next-hop 192.168.2.1
set firewall modify LOAD_BALANCE rule 2950 action modify
set firewall modify LOAD_BALANCE rule 2950 modify table 1
set firewall modify LOAD_BALANCE rule 2950 source address 172.16.0.0/16
set firewall modify LOAD_BALANCE rule 2950 destination port 22
set firewall modify LOAD_BALANCE rule 2950 protocol tcp
commit
save

你可以使用这个关联访问整个线程进行配置。一个大坦克UBNT-雅菲

答案2

要想将互联网一分为二,就很难不将网络一分为二。好消息是,这听起来很像你期望要做的事情。

如果您将 VLAN100 设置为使用 ISP A,将 VLAN200 设置为使用 ISP B,那么您可以进行 VLAN 间路由以获得两个网络的完全 LAN 访问权限,并将您的默认网关设置为相应的 ISP 来控制互联网访问。

现在,如果您想这样做,以便所有开发人员和非开发人员都位于正确的 VLAN 上,无论他们是插入电源还是使用 WiFi,都有多种方法可以实现这一点。

对于您的 WiFi,您可以使用 WPA2-Enterprise 身份验证和 RADIUS 服务器来指定将用户置于哪个 VLAN。本质上,用户使用用户名和密码连接 WiFi,而不是使用相同的共享密钥。他们提供的用户名表示他们将被置于哪个 VLAN。Ubiquiti UniFi(顺便说一句,不错的选择)绝对可以做到这一点。

WiFi 的另一种选择是设置两个 SSID,每个 VLAN 一个,然后你只需指示员工连接到其中一个即可。UniFi 也可以轻松做到这一点。

对于有线连接,您可以使用 802.1x 基于端口的网络访问控制。本质上,这类似于 WPA2-enterprise。当用户接入网络时,操作系统会检测到您需要进行 802.1x 身份验证,并提示用户输入网络用户名/密码(或者在 Active Directory 和 Windows 的情况下,它会传递一个)。一旦通过身份验证,802.1x 就会将用户置于适当的 VLAN 上。这样,用户可以在任何他们想要的地方接入,并且仍然能够接入正确的网络。

另一种选择是,如果您的用户是静态的,则只需手动将基于端口的 VLAN 分配给他们的以太网端口,这样,任何坐下来并插入给定端口的人都会进入两个网络之一。

通过这种设置,开发人员可以直接通过终端/Putty 连接到 AWS/Azure 而不会出现任何问题,但他们也会通过相同的网关进行浏览,因此速度会比较慢。

这是一个很难克服的问题。如果您要连接的 IP 地址非常具体,那么一些路由规则可能会派上用场。但是,如果您有一个基本的 SPI 防火墙,它们通常会丢弃返回连接,因为它们没有看到它们被启动(异步路由)。

但听起来开发商的处境不会比现在更糟。现在你正在将 35 个人推入一条 4Mbps 管道。现在你只需要将 10 个人推入那条管道,所以这可能仍然是一个胜利。

相关内容