通過雙 WAN 路由器中的 WAN2 隧道 SSH 和數據庫埠
ISP-A : 4mbps (1:1) 光纖專線靜態 IP 地址和ISP-B : 20mbps (1:8) 光纖連接和動態 IP 地址。
這種情況的背景很少,目前我們只有一個 ISP (ISP-A),並且由於頻寬不足以滿足所有人(大約 25 個人瀏覽和訪問 AWS/Azure),所以我們的計劃是在我們的本地網路中添加另一個 ISP,以便每個人都可以瀏覽/發送郵件而不會抱怨頻寬問題。ISP-B 的成本低於 ISP-A 的 20mbps,因為它不是 1:1 連接,而且他們與我們沒有任何 SLA。我們的辦公室分為開發人員和非開發人員使用者。
開髮使用者
- 大多數在 LAN 和 3 在 WiFi
- 連接到 AWS/Azure(需要作為固定 IP 連接到實例的傳入防火牆策略)。
- 需要瀏覽網際網路(此時 IP 是否固定無關緊要)。他們中的大多數人都做 SO/Git/Bitbucket/YT 等。
非開髮使用者
- 大多數在 WiFi 和 3 在 LAN
- 瀏覽網際網路,使用 mail/hangouts/skype/teamviewer,不需要任何靜態 IP 即可使用。
一旦我們獲得第二個 ISP-B,我想將所有瀏覽流量引導到 ISP-B (20mbps) 並且所有開發人員都通過 ISP-A (4mbps) 連接到 AWS/Azure 以進行 SSH。所以我的計劃是將 ISP-A 設置為 WAN1,將 ISP-B 設置為 WAN2,例如:
WAN1 172.16.0.1 WAN2 172.16.1.1需要做的是,每個人都通過 ISP-B 使用網際網路。開發人員使用 SSH(埠 22)、數據庫連接(埠 5432)和其他一些需要通過 ISP-A 提供靜態 IP 的埠。
使用中的設備
- CISCO SG300-58 管理型交換機
- TP-Link單WAN路由器
- 3x Ubiquiti Unifi AP
建議購買的設備
- Ubiquiti USG-Pro4(做雙WAN)
- 2 倍以上的 Ubiquiti Unifi AP
開發者總數:10 非開發者總數:25
我怎樣才能讓他們通過 WAN2 使用網際網路(瀏覽)而不設置代理伺服器,而不是更改他們的預設網關?
所以我使用 USG-Pro-4 完成了這項工作。
需要通過 SSH 為此實施自定義規則,因為在此階段它的 UI 尚未完成以管理這些規則。
這個想法是通過 WAN2 發送埠 22,5432 並在 WAN1 上保持 Internet 流量。
設備
Cisco-SG300-52 - 做 DHCP - 172.16.0.1
Unifi USG-Pro-4 - 開啟雙 WAN 路由器 - 172.16.0.5/16
WAN1:192.168.1.2 上的光纖復用器
WAN2 : - 192.168.2.1 上的光纖到 LAN 媒體轉換器
Unifi AP - 3x Nos,通過 DHCP 獲取地址,unifi 控制器用於管理組/SSID 等。
實施概述
- LAN1:172.16.0.0/16
- WAN1:192.168.1.2/29 網關:192.168.1.1
- WAN2:192.168.2.2/29 網關:192.168.2.1
所有從 LAN1 到埠 22 和 5432 的流量都使用 USG-Pro-4 上的以下規則通過 WAN2 發送出去,這允許通過 20mbps 線路進行瀏覽,所有與數據庫相關的工作和 SSH 都通過 WAN2 進行(靜態智慧財產權)。
USG-Pro-4配置範例
configure set protocols static table 1 route 0.0.0.0/0 next-hop 192.168.2.1 set firewall modify LOAD_BALANCE rule 2950 action modify set firewall modify LOAD_BALANCE rule 2950 modify table 1 set firewall modify LOAD_BALANCE rule 2950 source address 172.16.0.0/16 set firewall modify LOAD_BALANCE rule 2950 destination port 22 set firewall modify LOAD_BALANCE rule 2950 protocol tcp commit save您可以使用此連結訪問整個執行緒進行配置。一個大坦克你去UBNT-jaffe。