Linux – 双NAT网络的网络重构方法
由于多年前制定的一系列糟糕的网络设计决策(大多数情况下)是为了节省一些钱,我有一个网络明确地进行了次优设计.我正在寻找改善这种不太愉快的情况的建议.
我们是一个非盈利组织,拥有基于Linux的IT部门和有限的预算. (注意:我们运行的Windows设备都没有执行与Internet通信的任何操作,也没有任何Windows管理员.) 关键点: >我们主要有一个主办公室和大约12个远程站点 所有常规互联网流量都通过CentOS 5路由器服务器,根据我们用于将出站流量指向适当的互联网连接的手动配置的路由规则,将192.168 / 24子网NAT连接到10.0.0.0/24子网. ‘-host’路由语句. 我想简化这一过程,为ESXi虚拟化做好准备,包括这些面向公众的服务.是否有一个没有成本或低成本的解决方案可以摆脱Double-NAT并为这个烂摊子恢复一点理智,以便我未来的替代品不会让我失望? 总公司基本图: 这些是我的目标: >面向公众的服务器,将中间10.0.0 / 24网络上的接口移入ESXi服务器上的192.168.2 / 24子网. 解决方法
1.)在基本上任何事情之前,你的IP寻址计划都要理顺.重新编号是痛苦的,但这是实现可行的基础设施的必要步骤.为工作站,服务器,远程站点(具有独特的IP,自然),管理网络,环回等留出舒适大,易于概括的超网.有很多RFC1918空间,价格合适.
2.)根据上图,很难了解如何在网络中布置L2.如果您的各种网关中有足够数量的接口以及足够数量的交换机,则可能不需要VLAN.一旦你有了#1的感觉,分开重新认识L2问题可能是有意义的.也就是说,VLAN并不是一套特别复杂或新颖的技术,也不一定非常复杂.一定程度的基本训练是有序的,但至少将标准开关分成几组端口(即没有中继)的能力可以节省很多钱. 3.)DMZ主机应该放在他们自己的L2 / L3网络上,而不是与工作站合并.理想情况下,您的边界路由器连接到L3设备(另一组路由器?L3交换机?),这反过来会连接包含面向外部服务器接口(SMTP主机等)的网络.这些主机可能会连接回不同的网络或(不太理想)连接到公共服务器子网.如果您已经适当地布置了子网,那么引导入站流量所需的静态路由应该非常简单. 3a.)尽量使VPN网络与其他入站服务分开.就安全监控,故障排除,会计等而言,这将使事情变得更容易. 4.)如果没有通过多个操作符整合您的Internet连接和/或路由单个子网(读取:BGP),您需要在边界路由器之前使用中间跃点才能正确地重定向入站和出站流量(如我怀疑你现在正在做的事情).这似乎比VLAN更令人头痛,但我认为这都是相对的. (编辑:李大同) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |