在思考 ISP 如何配置其内部网络时,我想知道是否可以将路由器的伪装委托给交换机。
细节:
假设有一个 48 端口 Gbps 交换机,该交换机有 48 个 VLAN。路由器连接到此交换机的上行链路。假设 VLAN1 正在向 VLAN2 发送数据。使用简单路由,来自 VLAN1 的数据包将转到交换机,上行链路到路由器,路由器将伪装成其公共 IP 地址,然后意识到目的地在 VLAN2 上,并将其发送回交换机以发送到 VLAN2。
理想情况下,路由器应该能够将此 TCP 流的路由推送到交换机,并让交换机在本地处理流量。这存在吗?如果存在,该技术的名称是什么,也许还有一些专有技术的名称?这有什么安全隐患?考虑到 UDP 的无状态性质,是否可以为 UDP 做到这一点?
答案1
通过简单的路由,来自 vlan1 的数据包将到达交换机,上行到路由器,路由器将伪装其公共 IP 地址,然后意识到目的地在 vlan2 上,并将其发送回交换机以发送到 vlan2。
这取决于您如何设置路由器。它应该能够在没有 SNAT 的情况下在私有子网之间进行路由。
请记住,路由是一个非常基本的功能,而 NA(P)T 是在更晚的时候发明的,而且要复杂得多。NAT 可能是消费级设备上的隐含功能,但它仅在商业网络中必要时使用。
理想情况下,路由器应该能够将此 TCP 流的路由推送到交换机,并让交换机在本地处理流量。
不是。“交换机”是第 2 层设备,它不知道 IP 地址和路由。根本。即使是第 3 层交换机也无法进行 NAT,这是 L4+ 的事情。“下推路由”听起来像是软件定义网络 (SDN),但完全是另一回事。
通常,L3 交换机用于 LAN 路由(私有到私有),因为它便宜且快速,而路由器用于 WAN 路由(私有到公共和反向),因为它可以执行更多操作并提供更多控制。
考虑到 UDP 的无状态特性,UDP 可以做到这一点吗?
动态 SNAT 在任何情况下都需要有状态的 NAT 设备。对于 UDP,状态需要或多或少地猜测,就像“私有 IP S、UDP 端口 x 向公共 IP D、UDP 端口 y 发送了一个数据报,因此我将在一段时间内使用反向转换”。UDP“连接”需要始终保持老化,而对于 TCP 连接,这只是一个清理过程。