Networking
我可以對子網進行子網劃分嗎?
提前為拙劣的術語道歉。我已經閱讀了Server Fault Subnet Wiki,但這更像是一個 ISP 問題。
我目前有一個 /27 塊的公共 IP。我使用給我的路由器這個池中的第一個地址,然後對防火牆後面的所有伺服器使用 1 對 1 NAT,以便它們每個都獲得自己的公共 IP。
路由器/防火牆目前正在使用(刪除實際地址以保護有罪者):
IP Address: XXX.XXX.XXX.164 Subnet mask: 255.255.255.224 Gateway: XXX.XXX.XXX.161
我想做的是將我的子網分成兩個單獨的 /28 子網。並以對 ISP 透明的方式執行此操作(即,他們認為我繼續操作單個 /27)。
目前,我的拓撲結構如下:
ISP | [Router/Firewall] | [Managed Ethernet Switch] / \ \ [Server1] [Server2] [Server3] (etc)
相反,我希望它看起來像:
ISP | [Switch] / \ [Router1] [Router2] | | | | [S1] [S2] [S3] [S4] (etc)
如您所見,這會將我劃分為兩個獨立的網路。
我正在為 Router1 和 Router2 上的正確 IP 設置而苦苦掙扎。
這是我現在擁有的:
Router1 Router2 IP Address: XXX.XXX.XXX.164 XXX.XXX.XXX.180 Subnet mask: 255.255.255.240 255.255.255.240 Gateway: XXX.XXX.XXX.161 XXX.XXX.XXX.161
請注意,通常您希望Router2 的網關為0.177,但我試圖讓它們都使用最初由ISP 提供給我的網關。
像這樣的子網劃分實際上是可能的,還是我完全搞砸了最基本的概念?
–
編輯
很多人問“為什麼”。我想這樣做有幾個具體原因:
- 我的路由器/防火牆每 6-8 週鎖定一次。我使用了一系列設備:NetGear FVS318、Linksys RV042、Watchguard Firebox Edge X20e和Cisco ASA 5505。所有設備都發生了同樣的事情,這顯然是由於設備管理的十幾個 IPSec VPN 隧道。每當它鎖定時,網路工程師都需要對設備進行物理重啟。
- 我有一個大客戶,機櫃中大約 1/2 的伺服器是他們的。我希望該客戶端能夠自己管理防火牆和 VPN 規則,而不是通過我。這樣,我將授予他們對 Router2 的 root 訪問權限,他們可以自己管理所有內容,而不會對 Router1 造成任何問題。
如果您不使用 NAT,即如果您想實際進行路由並將真實伺服器放在這些 IP 地址上,那麼您不能以對您的提供商透明的方式對您的網路進行子網劃分;他們將需要修改他們的路由器配置和路由表以適應您的新網路設置,可能會給您兩個網關地址和/或兩個路由器(或者如果您將一個子網放在另一個子網“後面”,則通過設置新路由和你的防火牆在中間)。
但是,如果您繼續使用 NAT,並且只是將一半的地址提供給防火牆,而將一半的地址提供給另一個,那麼它們的外部 IP 在您的 ISP 看來仍然屬於單個子網,並且一切都會正常工作。