我可以對子網進行子網劃分嗎？

提前為拙劣的術語道歉。我已經閱讀了Server Fault Subnet Wiki，但這更像是一個 ISP 問題。

我目前有一個 /27 塊的公共 IP。我使用給我的路由器這個池中的第一個地址，然後對防火牆後面的所有伺服器使用 1 對 1 NAT，以便它們每個都獲得自己的公共 IP。

路由器/防火牆目前正在使用（刪除實際地址以保護有罪者）：

IP Address:  XXX.XXX.XXX.164
Subnet mask: 255.255.255.224
Gateway:     XXX.XXX.XXX.161

我想做的是將我的子網分成兩個單獨的 /28 子網。並以對 ISP 透明的方式執行此操作（即，他們認為我繼續操作單個 /27）。

目前，我的拓撲結構如下：

    ISP
     |
[Router/Firewall]
     |
 [Managed Ethernet Switch]
 /       \         \
[Server1] [Server2] [Server3] (etc)

相反，我希望它看起來像：

      ISP
       |
   [Switch]
   /      \
[Router1] [Router2]
 |    |    |   |
[S1] [S2] [S3] [S4] (etc)

如您所見，這會將我劃分為兩個獨立的網路。

我正在為 Router1 和 Router2 上的正確 IP 設置而苦苦掙扎。

這是我現在擁有的：

             Router1              Router2
IP Address:   XXX.XXX.XXX.164      XXX.XXX.XXX.180
Subnet mask:  255.255.255.240      255.255.255.240
Gateway:      XXX.XXX.XXX.161      XXX.XXX.XXX.161

請注意，通常您希望Router2 的網關為0.177，但我試圖讓它們都使用最初由ISP 提供給我的網關。

像這樣的子網劃分實際上是可能的，還是我完全搞砸了最基本的概念？

–

編輯

很多人問“為什麼”。我想這樣做有幾個具體原因：

1. 我的路由器/防火牆每 6-8 週鎖定一次。我使用了一系列設備：NetGear FVS318、Linksys RV042、Watchguard Firebox Edge X20e和Cisco ASA 5505。所有設備都發生了同樣的事情，這顯然是由於設備管理的十幾個 IPSec VPN 隧道。每當它鎖定時，網路工程師都需要對設備進行物理重啟。
2. 我有一個大客戶，機櫃中大約 1/2 的伺服器是他們的。我希望該客戶端能夠自己管理防火牆和 VPN 規則，而不是通過我。這樣，我將授予他們對 Router2 的 root 訪問權限，他們可以自己管理所有內容，而不會對 Router1 造成任何問題。

如果您不使用 NAT，即如果您想實際進行路由並將真實伺服器放在這些 IP 地址上，那麼您不能以對您的提供商透明的方式對您的網路進行子網劃分；他們將需要修改他們的路由器配置和路由表以適應您的新網路設置，可能會給您兩個網關地址和/或兩個路由器（或者如果您將一個子網放在另一個子網“後面”，則通過設置新路由和你的防火牆在中間）。

但是，如果您繼續使用 NAT，並且只是將一半的地址提供給防火牆，而將一半的地址提供給另一個，那麼它們的外部 IP 在您的 ISP 看來仍然屬於單個子網，並且一切都會正常工作。

引用自：https://serverfault.com/questions/146611