Networking

我可以對子網進行子網劃分嗎?

  • May 26, 2018

提前為拙劣的術語道歉。我已經閱讀了Server Fault Subnet Wiki,但這更像是一個 ISP 問題。

我目前有一個 /27 塊的公共 IP。我使用給我的路由器這個池中的第一個地址,然後對防火牆後面的所有伺服器使用 1 對 1 NAT,以便它們每個都獲得自己的公共 IP。

路由器/防火牆目前正在使用(刪除實際地址以保護有罪者):

IP Address:  XXX.XXX.XXX.164
Subnet mask: 255.255.255.224
Gateway:     XXX.XXX.XXX.161

我想做的是將我的子網分成兩個單獨的 /28 子網。並以對 ISP 透明的方式執行此操作(即,他們認為我繼續操作單個 /27)。

目前,我的拓撲結構如下:

    ISP
     |
[Router/Firewall]
     |
 [Managed Ethernet Switch]
 /       \         \
[Server1] [Server2] [Server3] (etc)

相反,我希望它看起來像:

      ISP
       |
   [Switch]
   /      \
[Router1] [Router2]
 |    |    |   |
[S1] [S2] [S3] [S4] (etc)

如您所見,這會將我劃分為兩個獨立的網路。

我正在為 Router1 和 Router2 上的正確 IP 設置而苦苦掙扎。

這是我現在擁有的:

             Router1              Router2
IP Address:   XXX.XXX.XXX.164      XXX.XXX.XXX.180
Subnet mask:  255.255.255.240      255.255.255.240
Gateway:      XXX.XXX.XXX.161      XXX.XXX.XXX.161

請注意,通常您希望Router2 的網關為0.177,但我試圖讓它們都使用最初由ISP 提供給我的網關。

像這樣的子網劃分實際上是可能的,還是我完全搞砸了最基本的概念?

編輯

很多人問“為什麼”。我想這樣做有幾個具體原因:

  1. 我的路由器/防火牆每 6-8 週鎖定一次。我使用了一系列設備:NetGear FVS318Linksys RV042Watchguard Firebox Edge X20eCisco ASA 5505。所有設備都發生了同樣的事情,這顯然是由於設備管理的十幾個 IPSec VPN 隧道。每當它鎖定時,網路工程師都需要對設備進行物理重啟。
  2. 我有一個大客戶,機櫃中大約 1/2 的伺服器是他們的。我希望該客戶端能夠自己管理防火牆和 VPN 規則,而不是通過我。這樣,我將授予他們對 Router2 的 root 訪問權限,他們可以自己管理所有內容,而不會對 Router1 造成任何問題。

如果您不使用 NAT,即如果您想實際進行路由並將真實伺服器放在這些 IP 地址上,那麼您不能以對您的提供商透明的方式對您的網路進行子網劃分;他們將需要修改他們的路由器配置和路由表以適應您的新網路設置,可能會給您兩個網關地址和/或兩個路由器(或者如果您將一個子網放在另一個子網“後面”,則通過設置新路由和你的防火牆在中間)。

但是,如果您繼續使用 NAT,並且只是將一半的地址提供給防火牆,而將一半的地址提供給另一個,那麼它們的外部 IP 在您的 ISP 看來仍然屬於單個子網,並且一切都會正常工作。

引用自:https://serverfault.com/questions/146611