同一交换机上的本地和公共IP？

这是可能的 ，但不build议 ，特别是当有更好的方法时。

首先，交换机不关心你的IP地址，他们关心你的MAC地址。 他们是“第2层”设备。 IP地址是第3层，所以它们几乎与交换方面无关。

为了确保我的基础结构正确，您有服务器A，B，C和D.每个服务器都有2个NIC。 您想在每台服务器上使用NIC＃1，并使用外部互联网面向IP地址进行configuration，然后在每台服务器上使用NIC＃2，并使用私有IP进行configuration？

我不得不问，为什么，在这一点上。

如果是专用带宽，最好将NIC＃1和NIC＃2绑定到一个逻辑接口，这可以使带宽增加一倍。

如果是为了安全起见，那么您将不得不提供更多信息，因为在具有公共networking连接的交换机上使用私有IP时没有增加安全性。 您不会将任何内容广播到互联网*，但同时，私有IP块上的网卡（例如ARP / RARP请求等）的任何networking广播都将被发送到您的上游路由器。 它不会转发他们或回应，但它肯定不会为你做任何事情。

（* – 可能不是，反正）

现在，如果您仍然有安全意识，为什么不使用交换机上的VLAN将外部networking与内部networking隔离？ VLAN将创build两个逻辑交换机*，这将防止二层广播信息泄漏到路由器，并且通常将“私有”networking隔离到不同的逻辑二层networking中是优选的。

（* – 我正在简化，但实质上，这是它的作用）

这听起来像NAT转发和信任你的交换机的情况。

我会保持服务器的内部ips只是其中一个端口。 交换机将保持服务器到服务器的stream量不受影响其余的networking。 如果你需要带宽，你可能想为服务器获得一个千兆交换机，如果你的networking的其余部分是100兆。 如果您的外部stream量会很低，那么在您需要带宽之前，没有理由使用第二块网卡。

连接到你的外部IP应该通过NAT从路由器转发到内部IP。

我无法find你正在寻找的拓扑结构的确切图片，但是这很接近，没有开关。 替代文字http://www.b.ali.btinternet.co.uk/DCPlusPlus/images/activeTopologyC.png

在我的设置中，我有我的思科ASA防火墙转发请求一个特定的IP地址和端口到一个内部IP地址和端口。 服务器获取请求并将其转发给networking。 这样我就可以在我的防火墙的公共端保留任何公共路由，内部广播和内部stream量，并仍然可以访问内部networking上的服务。

在某些情况下，如果交换机是具有802.1q VLAN标签支持的相对现代的交换机，我可以这样做。

我会创build一个用于公共stream量的vlan，为私有stream量创build一个vlan，并为专用stream量使用私有地址。 将一组端口放入一个vlan（全部不加标签），另一组端口放入另一个vlan。

把你的公共接口/地址放到一个vlan中，然后把私有地址放到另一个vlan中。

注意，如果任何一台面向公众的计算机被攻破，你将把私有networking上的其他主机的私有接口暴露给那台根计算机。 在设置和审核安全模型时，您应该将所有这些界面视为不可信。

仔细想一想–vlan模型与设置ip地址别名和将所有内容放入同一个广播域/ vlan中的模式大致相同。 在某些方面，它更好，因为您可以在计算机和交换机之间执行LACP，并获得更好的性能和链路冗余。 但我仍然不会这样做，因为依靠你的路由器/防火墙把stream量放到RFC1918空间是很难的。

我想这样做的原因是因为我的交换机与公司面向公众的路由器相比有几个级别，我不想阻塞其他交换机和路由器，只需要从4个服务器中的一个到另一个。 公共stream量将是最小的，但服务器到服务器将是巨大的。

服务器到服务器的stream量不会奇迹般地“stream”到其他交换机上游，因为所有四台服务器都在同一个交换机上（除非它们位于一个上游到另一台交换机的VLAN上，但是你没有提到类似的东西那）。

如果你期望一些主要的服务器到服务器的stream量，我只做NIC绑定，给绑定的接口一个内部IP，并使用NAT /端口转发来允许公共访问。

这应该是可能的，取决于你的互联网连接，但我不会推荐它。 你开放自己的各种安全风险。 大多数情况下，你会把你的内部广播播放到互联网上。 你的Internetrouter将是那些braodcast的边界。 但是，如果它不在你的控制之下，我不会感觉良好。

但是我怀疑你的设置会有什么好处。 由于您的交换机将是吞吐量的限制。 你冷漠地使用公共IP（encryption的stream量！）。 这个configuration背后的原因是什么？