我们根本没法弄清楚,而且这个数据中心也没有真正的支持人员来解释这是如何工作的。这对我们来说是一个陌生的设置,但他们向我们保证这是他们的标准。
我们购买了一系列公共 IP 地址用于我们的 drop。他们向我们提供了以下信息:
光纤链路
- 区块:152.160.28.76/30
- 子网:255.255.255.252
- 网关:152.160.28.77
- 可用:152.160.28.78
- DNS1:216.234.97.2
- DNS2:216.234.97.3
局域网(我们购买的公共 IP 地址范围)
- 局域网:209.124.48.80/28
- 网关:209.124.48.81
- 可用:209.124.48.82 - .95
- 子网:255.255.255.240
- DNS1:216.234.97.2
- DNS2:216.234.97.3
我们的防火墙 (SonicWall TZ 470) 已插入其默认 WAN 的光纤接口。我被指示按如下方式设置 WAN 接口:
- 广域网接口(X8)
- 区域:WAN
- IP地址:152.160.28.78
- 子网:255.255.255.252
- 默认网关:152.160.28.77
- DNS 服务器 1:216.234.97.2
- DNS 服务器 2:216.234.97.3
但是,我们被告知公共流量实际上不应路由到 152.160.28.78。我们仍然应该使用我们给出的公共 IP 地址范围。哪个……有效?我不知道怎么做,很想知道发生了什么,因为现在我需要使用多个这样的公共 IP 地址,我不知道该怎么做。
因此,我们有当前的 X0 LAN,它直接连接到具有三个 VM 的 VM 主机,并且有一条 NAT 规则似乎可以将其中一个公共 IP 地址获取到它:
- LAN 接口 X0
- IP 地址:10.20.0.1
- 子网掩码:255.255.0.0
- 默认网关:(0.0.0.0)
- VM 主机服务器
- IP 地址:10.20.0.100
- 子网:255.255.0.0
- 网关:10.20.0.1
- 服务器-1
- IP 地址:10.20.0.101
- 子网:255.255.0.0
- 网关:10.20.0.1
- 服务器-2
- IP 地址:10.20.0.102
- 子网:255.255.0.0
- 网关:10.20.0.1
- 服务器-3(反向代理)
- IP 地址:10.20.0.103
- 子网:255.255.0.0
- 网关:10.20.0.1
- NAT 规则
- 目标 209.124.48.83 -> 目标 10.20.0.101
- 源 10.20.0.101 -> 源 209.124.48.83
服务器 2 和服务器 3 是新添加的。NAT 规则已成功将该公共 IP 地址路由到服务器 1。
我尝试为 209.124.48.84 <-> 10.20.0.103 添加 NAT 规则。这似乎不起作用。我也不知道为什么/如何会这样。它有时会将路由到 209.124.48.84 的 DNS 流量以某种方式发送到 10.20.0.101 的 Server-1。是的,此时一切都变得模糊不清。我不希望两个不同的公共 IP 地址有效地从一个接口传输到 VM 主机的一个 NIC。
无论如何,我想要实现的目标:
我们将一个网站从 Server-1(IIS 服务器)拆分到 Server-2(Ubuntu/Apache)。在 Server-1 上,该网站在主主机域的子目录中运行(www.website.com/app)。我们希望通过使用反向代理服务器将 /app 位置定向到 Server-2,将其他所有内容定向到 Server-1,从而保留这一点。
Server-1 还托管多个不同的主机域。我不希望对每个站点都使用反向代理。我只想发送www.website.comDNS 到反向代理,以及其他所有内容(例如:www.otherwebsite.com) 仍然可以直接转到 Server-1。
不幸的是,我无法将任何公共流量有效地路由到反向代理,我认为这需要使用另一个公共 IP 地址。
我的问题是:
- 数据中心给我提供的这个设置是什么?这里面是不是有一些我从未听说过的概念?我想了解这是如何工作的,以及如何有效地利用这些 IP 地址。
- 使用此设置是否可以实现上述目标?我需要更多硬件吗?更多连接?VM Host 有 4 个 NIC。我考虑将防火墙的 X1 插入 VM Host 服务器的 NIC2,如果我将另一个公共 IP 地址 NAT 到不同的子网/接口,也许我可以让路由更好地工作?很难说,因为我真的不知道当前的公共 IP 地址是如何工作的。
如果之前有人问过/解释过类似问题,我深表歉意。不幸的是,我不确定这里到底发生了什么,甚至无法有效地搜索它。
答案1
此设置意味着在面向您的接口上,他们具有您的主要范围(152.160.28.76/30)和次要范围(209.124.48.80/28)。
虽然这通常意味着您应该通过策略路由将流量路由到适当的网关,但大多数情况下不需要这样做,因为 152.160.28.77 和 209.124.48.81 可能是同一个路由器,并且上行流量在任何情况下都没有网关 IP 的指示(它使用 ARP 到达需要去的地方)。
我不确定 SonicWall 的功能,但在普通路由器上,您可以在 209.124.48.80/28 范围的上行链路端口上设置辅助地址,然后根据需要执行 NAT。