我有两台 Linux 服务器,将连接到典型的 l3 交换机/路由器。IT 部门将为它们各自分配一个公共 IP 号码(例如:pub.ip.n.1 和 pub.ip.n.2)。
Q1:获取功能的最佳(最简单)方法是什么:
工作互联网路由(往返于 pub.ip.n.1 和 pub.ip.n.2)
我在服务器接口上定义的任何子网(比如说 10.1.1.1/24)都将在服务器之间传递流量。添加/删除子网应该只是服务器管理员的任务,不需要路由器管理员。
这些定义的子网将根本不被路由,也不会以任何方式与其他定义/分配的子网交互。
路由器端不需要路由/NAT,防火墙将在Linux上管理。
从理论上讲,经过阅读后,我认为可以这样做:
a) 在两个端口上配置 VLAN
b) 将 pub.ip.n.1 和 pub.ip.n.2 设置为每个端口/将 pub.ip.n.1/.2 和 .gw 分配给 VLAN。
c) 允许所有以太网 2 级流量在端口之间流动
d) 禁止任何 IP 流量(除 pub.ip.n.1、pub.ip.n.2 pub.ip.n.gw 之外)进入/离开 vlan。
Q2:是否需要任何复杂的路由器来实现这一点,或者现在的普通服务器机房硬件上是否可以实现这一点?
此致敬意,提前致谢!
答案1
我认为您可以使用托管 L3 交换机和防火墙完成所有这些操作。VLAN 是隔离子网的最简单方法,然后是一些简单的防火墙规则,如何定义规则取决于您使用什么。
所以,
VLAN 10 1.1.1.0/30 GW 1.1.1.1 HOST 1.1.1.2
VLAN 20 2.2.2.0/30 GW 2.2.2.1 HOST 2.2.2.2
允许 和 之间1.1.1.0/30以及2.2.2.0/30到 互联网 的流量,以及从 互联网 到1.1.1.0/30和2.2.2.0/30的流量。告诉您的防火墙/路由器 ACL 其他网络,并禁止这两个网络之间的流量。
不需要任何特殊的东西,您可以使用 SoHo 装备完成所有这些。