Ip

同一交換機上的本地和公共 IP?

  • December 10, 2019

這幾乎都在標題中。是否可以將本地和公共 IP 分配給連接到同一交換機的不同節點?

我有 4 台伺服器,每台都有 2 個千兆乙太網埠。我希望每個埠都有一個公共 IP,其餘埠具有本地 IP,用於伺服器到伺服器的流量。

編輯:

我想這樣做的原因是因為我的交換機比我們公司的面向公眾的路由器低了幾級,而且我不想讓只需要從 4 台伺服器之一的流量阻塞其他交換機和路由器給另一個。公共流量將是最小的,但伺服器到伺服器將是巨大的。

編輯2:

我剛剛與我們的供應商確認(我們正在租用機架空間):我無法訪問上游的任何 NAT 硬體。我們所擁有的只是一個 IP 範圍和一些交換機,它們無法重新組織,因為其他客戶也使用它們。所以在這一點上,我的選擇似乎是:

  1. **理想:**購買支持 NAT 的防火牆/路由器,並在目前交換機下配置每個伺服器上的 NIC 綁定到本地 IP,路由器會將公共 IP 轉發到本地 IP。
  2. **便宜:**將交換機分成 2 個 VLAN 用於公共/本地 IP 範圍劃分。交換機確實支持 802.1q VLAN。

我們現在將使用 2,如果頻寬需求增長,將來可能會切換到 1。感謝大家的建議。

這是可能的,但不建議這樣做,尤其是當有更好的方法時。

首先,交換機不關心你的 IP 地址,他們關心你的 MAC 地址。它們是“第 2 層”設備。IP 地址是第 3 層,因此它們與事物的交換端幾乎無關。

為確保我的基礎架構正確無誤,您有伺服器 A、B、C 和 D。每台伺服器都有 2 個 NIC。您想在每台伺服器上使用 NIC#1,並使用面向 Internet 的外部 IP 地址配置它們,然後在每台伺服器上使用 NIC#2,並使用私有 IP 配置它們?

我不得不問為什麼,在這一點上。

如果是專用頻寬,最好將 NIC#1 和 NIC#2 綁定到一個邏輯介面中,這樣可以使頻寬增加一倍。

如果是出於安全考慮,那麼您將不得不提供更多資訊,因為在具有公共網路連接的交換機上使用私有 IP 不會增加安全性。您不會向網際網路廣播任何內容*,但與此同時,來自私有 IP 塊上的網卡的任何網路廣播(例如 ARP/RARP 請求等)都將發送到您的上游路由器. 它不會轉發它們或響應它們,但它肯定不會為您做任何事情。

(* - 可能不是,無論如何)

現在,如果您仍然有安全意識,為什麼不在交換機上使用 VLAN 來隔離外部網路和內部網路呢?VLAN 將創建兩個邏輯交換機*,這將防止您的第 2 層廣播資訊洩漏到路由器,並且通常,將“私有”網路隔離為不同的邏輯第 2 層網路是可取的。

(* - 我在簡化,但本質上,這就是它的作用)

引用自:https://serverfault.com/questions/135888