Локальные и публичные IP на одном коммутаторе?
Это все в значительной степени в названии. Можно ли назначить как локальные, так и публичные IP-адреса различным узлам, подключенным к одному и тому же коммутатору?
У меня есть 4 сервера с 2 гигабитными портами Ethernet каждый. Я хочу, чтобы у каждого из них был общедоступный IP-адрес, а у остальных портов были локальные IP-адреса для межсерверного трафика.
Редактировать:
Причина, по которой я хочу это сделать, заключается в том, что мой коммутатор находится на несколько уровней ниже общедоступного маршрутизатора нашей компании, и я не хочу засорять другие коммутаторы и маршрутизатор трафиком, который требуется только от одного из 4 серверов. другому. Общественный трафик будет минимальным, но межсерверный будет огромным.
Изменить 2:
Я только что подтвердил нашему провайдеру (мы сдаем в аренду стоечное пространство): у меня нет доступа к любому оборудованию NAT в восходящем направлении. Все, что у нас есть, это диапазон IP-адресов и несколько коммутаторов, которые не могут быть реорганизованы, потому что другие клиенты также используют их. Итак, на данный момент, мои варианты выглядят так:
- IDEAL: приобретите межсетевой экран / маршрутизатор с поддержкой NAT и настройте под текущими коммутаторами соединение NIC на каждом сервере с локальным IP-адресом, и маршрутизатор перенаправит общедоступные IP-адреса локальным IP-адресам.
- НЕДОРОГО: Разделите коммутатор на 2 VLAN для общего / локального IP-диапазона. Коммутатор поддерживает 802.1q VLAN.
Мы собираемся перейти с 2 на данный момент и, вероятно, переключиться на 1 в будущем, если требования к пропускной способности будут расти. Спасибо всем за ваш совет.
5 ответов
Это возможно, но это не рекомендуется, особенно когда есть лучшие способы.
Во-первых, коммутаторы не заботятся о ваших IP-адресах, они заботятся о ваших MAC-адресах. Это устройства второго уровня. IP-адреса 3-го уровня, так что они практически не имеют отношения к коммутации.
Чтобы убедиться, что ваша инфраструктура работает правильно, у вас есть серверы A, B, C и D. У каждого из них есть 2 сетевых адаптера. Вы хотите использовать NIC#1 на каждом сервере и настроить для них внешние IP-адреса, обращенные к Интернету, затем взять NIC#2 на каждом сервере и настроить их для частных IP-адресов?
Я должен спросить, почему, на данный момент.
Если бы это было для выделенной полосы пропускания, вам лучше было бы объединить NIC#1 и NIC#2 в один логический интерфейс, который может удвоить пропускную способность.
Если это для безопасности, то вам придется предоставить больше информации, потому что нет никакой дополнительной защиты от использования частных IP-адресов на коммутаторе с общедоступными сетевыми подключениями. Вы не собираетесь ничего транслировать в Интернет *, но в то же время любая сеть, транслируемая с сетевых карт на частном IP-блоке (такие вещи, как запросы ARP/RARP и т. П.), Будет отправлена на ваш вышестоящий маршрутизатор, Он не будет пересылать или отвечать, но, конечно, ничего для вас не сделает.
(* - вероятно, нет, во всяком случае)
Теперь, если вы все еще заботитесь о безопасности, почему бы не использовать VLAN на коммутаторе для отделения внешней сети от внутренней сети? Сети VLAN создадут два логических коммутатора *, которые предотвратят утечку вашей широковещательной информации уровня 2 на маршрутизатор, и в целом разделение "частных" сетей на отдельные сети логического уровня 2 является предпочтительным.
(* - Я упрощаю, но по сути это то, что он делает)
В некоторых ситуациях я бы согласился, если бы это был относительно современный коммутатор с поддержкой тегов VLAN 802.1q.
Я бы создал один vlan для общего трафика и один vlan для частного трафика и использовал бы частные адреса для частного трафика. Поместите один набор портов в один VLAN (все без тегов), а другой набор портов в другой VLAN.
Поместите ваши открытые интерфейсы / адреса в один vlan, затем поместите частные адреса в другой.
Имейте в виду, что в случае взлома любого из общедоступных компьютеров вы будете предоставлять доступ к закрытым интерфейсам других хостов в частной сети этому корневому компьютеру. Вы должны рассматривать все эти интерфейсы как ненадежные, когда вы настраиваете и проверяете свою модель безопасности.
Подумайте немного об этом - модель vlan примерно такая же, как настройка псевдонимов IP-адресов и помещение всего в один широковещательный домен / vlan. В некотором смысле это даже лучше, потому что вы можете выполнять LACP между компьютерами и коммутатором и получать лучшую производительность и избыточность каналов. Но я все равно не стал бы этого делать, потому что безобразно полагаться на свой маршрутизатор / брандмауэр для отбрасывания трафика в пространство RFC1918.
Причина, по которой я хочу это сделать, заключается в том, что мой коммутатор находится на несколько уровней ниже общедоступного маршрутизатора нашей компании, и я не хочу засорять другие коммутаторы и маршрутизатор трафиком, который требуется только от одного из 4 серверов. другому. Общественный трафик будет минимальным, но межсерверный будет огромным.
Межсерверный трафик не будет магически "перетекать" вверх по течению к другим коммутаторам, потому что все четыре сервера находятся на одном коммутаторе (если только они не находятся в VLAN, транкируемой вверх по течению к другому коммутатору, но вы не упомянули ничего подобного тот).
Если вы ожидаете некоторый основной трафик между серверами, я бы просто сделал NIC-соединение, назначил для связанного интерфейса внутренний IP-адрес и использовал переадресацию NAT/ порта для обеспечения общего доступа.
Это звучит как случай для переадресации и доверия NAT вашему коммутатору.
Я бы держал внутренние ips для серверов только на одном из их портов. Коммутатор будет препятствовать тому, чтобы трафик между серверами влиял на остальную часть вашей сети. Если вам нужна пропускная способность, вы можете получить гигабитный коммутатор для серверов, если остальная часть вашей сети составляет 100 мегабит. Если ваш внешний трафик будет низким, нет необходимости использовать вторую сетевую карту, пока вам не понадобится пропускная способность.
Соединения с вашими внешними IP-адресами должны перенаправляться на внутренний IP-адрес вашего маршрутизатора через NAT.
Я не смог найти точную картину топологии, которую вы ищете, но это близко, без переключателей. http://www.b.ali.btinternet.co.uk/DCPlusPlus/images/activeTopologyC.png
В моей настройке мой брандмауэр cisco ASA перенаправляет запросы на определенный IP-адрес и порт на внутренний IP-адрес и порт. Сервер получает запрос и перенаправляет его в сеть. Таким образом, я могу поддерживать любую публичную маршрутизацию на общедоступной стороне брандмауэра, внутренние широковещательные рассылки и трафик на внутренней стороне, и при этом получать доступ к службам во внутренней сети.
Это должно быть возможно в зависимости от вашего интернет-соединения, но я бы не рекомендовал его. Вы открываете себя для всех видов угроз безопасности. Больше всего вы будете транслировать свою внутреннюю трансляцию в Интернет. Ваш интернет-роутер будет границей этих braodcast. Но если это не под вашим контролем, я бы не чувствовал себя хорошо по этому поводу.
Но я сомневаюсь, что ваша установка принесет какую-то пользу. Так как у вашего коммутатора будет предел пропускной способности. Вы используете исключительно публичные IP-адреса (с зашифрованным трафиком!). В чем причина этой конфигурации?