Networking
通過內部網路的 WAN IP 訪問伺服器 - 也將它們連接到 LAN?
目前我們在路由器/網關後面有一些伺服器,它們處於橋接模式,因此伺服器直接分配了 WAN IP,沒有執行 NAT。這按預期工作。
然而,在一個單獨的網關後面有一個單獨的辦公室電腦網路,該網關通過與所有伺服器相同的路由器連接到網際網路。
這是簡化的方案:
基本上,這意味著由於辦公室網關與伺服器連接到同一交換機,因此它們可以通過其 WAN IP 連接到伺服器,而無需通過主要的 Internet 防火牆。這是理想的,它使許多事情變得更容易,但是我想知道我是否應該將伺服器單獨連接到辦公室網路?使用 WAN IP 進行“內部”通信有點“尷尬”,但我真的想不出有什麼大的原因為什麼這實際上會很糟糕……
謝謝
我建議你堅持使用 WAN IP。如果您想嘗試為它們使用 LAN IP,這將使事情變得不必要地複雜化。私有 IP 地址的唯一真正優勢是更簡單的防火牆配置。在我看來,這不值得額外的成本(這意味著您的所有伺服器都需要分配另一個 IP,而且您需要配置裂腦 DNS)。
對於此配置中的伺服器,事情似乎以標準方式工作。看來路由器已正確配置為在 DMZ(非軍事區)中為您的伺服器提供不同的 VLAN(虛擬 LAN)。
即使 DMZ 中的伺服器具有私有 IP 地址,路由也應保持原樣。他們需要自己的 IP 地址範圍,與辦公室網關後面的主機使用的範圍分開。使用私有地址需要雙倍的配置 DNS 條目的工作,並且在配置中存在錯誤風險。需要拆分 DNS 配置,並且需要注意確保私有地址不會洩漏。
還有一個問題是您是否允許辦公室網關後面的主機使用它們的公共 IP 地址訪問 DMZ 中的主機。