networking专家,
这似乎是合乎逻辑和可行的,但希望得到专家的build议。 在我们的数据中心,我们有26个单独的服务器。
我们的一些应用程序服务器(A)需要公共IP地址,因此需要这些许多地址。 旧设置[路由器 – >pipe理交换机(vlans) – >单个lan交换机/ vlans]中的那些服务器在单独的vlan上,并且我们已经通过连接到受pipe理交换机的数据中心提供商确定/删除/ 24。 还有主要的应用(B)是在FW后面有单独的/ 27端口和LAN端口是满足我们的需要(LAN端口也通过专用VLAN上的相同pipe理交换机进行交换)。
我们正在移动数据中心,而这次,我并没有考虑两种解决scheme,而是考虑在路由器前设置基本的哑交换机/集线器,或者在路由器前设置可pipe理的交换机。 路由器/防火墙将服务于我们的主要应用程序(B),其他应用程序服务器需要公开面对来自同一交换机的IP馈送。 什么解决scheme会更好?
另一种select是我们的路由器有dmz端口以及多1:1 NATfunction。 我可以在广域网端口上创build虚拟接口,IP地址范围为1:1到dmz本地IP范围。 在这种情况下,我需要为这些服务器创build策略路由(SNAT)吗?
谢谢
Purvesh
无论是在服务提供商的边缘使用路由器还是交换机,通常都是以将IP范围传递给您的方式来决定的。
提供商为您提供“上游网关”的地址范围,并且在您的末端没有路由configuration必须具有与网关的第二层连接(或如此模拟; cf Proxy ARP)才能使数据包stream动。 当一个数据包到达上游路由器时,它假定目的地址在本地L2段上,并且只是ARP被丢弃。 这意味着您需要为地址空间的所有使用者提供交换机(或其他L2networking)。 但是,这并不意味着所有的东西都必须直接相连,如果你在你的末端放置一个路由器并运行代理ARP,你仍然可以在stream量到达目的地之前对stream量进行L3过滤(防火墙)。 你只是有一个更复杂,更难以debugging的networking环境。
因为这对于一个更大的networking块来说可能是相当大的事情,所以对于小块或者不知道他们在做什么的提供者来说,它往往只会发生。 在城市的最远端,你通常会在服务提供商的路由器和你的路由器之间得到一个非常小的范围(甚至是点对点链路),所有额外的networking块将通过该地址路由到你的路由器。
例如,如果你已经分配了192.0.2.0/25作为你的大块IP地址,你也会得到一个较小的分配(比如192.0.2.192/29 ),并被告知:“上游网关为192.0.2.193然后configuration你的路由器(HA对,natch)的IP地址为192.0.2.194和192.0.2.195 ,并configuration192.0.2.196作为一个路由器的HA IP“控制”然后告诉服务提供商:“请将我的大块IP地址路由到192.0.2.196 ,然后任一路由器都能处理这个stream量,这取决于当时哪个路由器有192.0.2.196 。
这种方法的另一个有用的好处是可以将多个块路由到相同的IP,从而减less了在同一个L2段上很多繁琐的networkingconfiguration的麻烦因素。 您也不必浪费networking和广播地址上的块的第一个和最后一个地址,因为在这个意义上,您实际上并不是“子网”,只是路由地址空间的块。
对感兴趣的,
我采取的解决scheme更简单,更好。 而不是把交换机放在路由器的前面,把networking拆分或者分开放置,我决定使用SNAT路由选项。 我们的路由器确实支持多1:1的NAT,只好configuration在IP内部替代外部IP的SNAT策略(策略路由)。 这样做的最大好处是服务器在防火墙之后,而不是DMZ。 这种方法唯一的缺点就是对这些服务器进行防火墙处理,以至于无法访问局域网内的任何资源。 我们只打开了从广域网IP到这些服务器的必要端口,并且阻止了这些服务器到局域网服务器的所有访问,有效地,我们创build了一个紧密的安全系统,它既有利于DMZ,又有防火墙的安全性。