->forward all traffic for [177.xx{3,5,7}] Internet --- [177.xx1] ------------------------------------ [177.xx3] / | \ / \ / | \ / \ [177.xx2] [177.xx4] [177.xx6] [177.xx5] [177.xx7] 主路由器 (177.xx1)连接到WAN,并将所有stream量(目的地IP为177.xx3,177.xx5,177.xx7) 转发给第二台路由器 (177.xx3)这样第二个路由器(177.xx3)可以像在主路由器(177.xx1)中那样路由(177.xx3,177.xx5,177.xx7-单个公共IP数量)内的通信量。 除此之外,所有177.xx2,177.xx4,177.xx6,177.xx8 …仍然由主路由器(177.xx1)pipe理。 所以我可以隔离这三台机器(177.xx3,177.xx5,177.xx7)。
所有这些不寻常的结构,因为我有三个公共单(不是一个完整的子网 – 太贵)的IP和一个主机,我想做的第二个路由器(177.xx3)和安装虚拟机(177.xx5,177。 XX7)。 因此,主路由器(177.xx1)位于提供者一侧,我无法访问它们,但是我想用公有IPpipe理与整个子网分开的虚拟机(仅在这三个IP之间的广播消息,只在第二个路由器上等)。 该子网中的所有其他IP都是外部的。 所以桥接模式不是解决scheme ,因为那么主要提供商路由器将pipe理我的整个networking部分。 这是更需要一个路由模式 ,但我找不到一个好的教程这样做。
你的照片和第一段是有道理的,是可行的。
但是,没有访问主路由器:
所以主路由器(177.xx1)位于提供者一侧,我无法访问它们
场景#1(两台路由器之间的完整路由)
您需要提供商/支持人员修改主路由器的configuration,以将路由器#2悬挂的子网的stream量路由到该路由器。
您还需要提供商修改主路由器(或边缘防火墙),以允许来自路由器#2的子网的传入stream量和传出stream量的正确的入站NAT规则和出站NAT规则。
如果需要,您可以将传出stream量规则放在第二台路由器上,但不能单独从路由器#2进行pipe理。 在路由器#2上至less需要一条默认路由到主路由器(去其他子网和互联网)。
你还需要在主路由器(也可能是ACL,如果它正在执行防火墙任务)上的路由,以允许其lan子网到达路由器#2的子网。
情景#2(双NAT和networking隔离)
您可能会要求提供商修改主要路由器,以将来自要“隔离”到路由器#2的WAN IP的NAT入站stream量修改为NAT,然后再重新进行NAT转换。 他们可以允许“任何”任何规则到你的路由器#2,然后你会防火墙/ ACL你想要自己。 允许您随时修改这些端口/规则。 除了第二个NAT需要的路由器之外,两台路由器之间不会有路由/规则。