我有一个相当特殊的路由和NAT问题,我希望我能以某种方式解决。 在我们公司内部,我们运行一个像192.168.0.0/21(192.168.0.1 – 192.168.7.254)这样的超级networking。所有的计算机都有这个子网掩码,而不需要路由到这个网段内的任何其他计算机。
对于一些客户,我们在他们和我们的防火墙之间build立了一些IPSec隧道。 此外,某些客户仅接受来自我的专用networking内某些源IP的通过隧道的stream量。 和客户A一样,如果源位于192.168.1.1-192.168.1.10之间,它只接受到他服务器的stream量(我们必须达到例如RDP,SAPGUI等)。 另一个只接受源192.168.3.0/24等等。 到目前为止,我通过将负责范围内的IP分配给特定的客户端PC来处理这个问题。 但现在这变得非常麻烦,而且在同一天内也会变化。 用户需要在上午9点连接到客户A,并在上午11点连接到客户B.
为了更灵活,我想通过在我的局域网内部设置一些路由器来集中这一点,我告诉客户A的stream量应该通过具有所需范围的IP的接口A. 而且NATstream量为了隐藏真实的客户端源IP。
这样我就可以设置一些特定的路由来确认目的地是否通过这个路由器。 我将根据需要消除总是切换客户端源IP的需要。 但是我害怕我不能做这个工作,因为我的路由将从同一个networking重新进入同一个networking。 这不是从我的LAN到客户端局域网,这是通过后来在我的防火墙IPSec完成的,但我只需要隐藏客户端IP,如192.169.2.1/21声称是192.168.1.2/21
有任何想法吗? 我想到的Windows RRAS服务器,但这是很好的路由从一个部分到另一个。 但是在同一个networking里只需要切换IP就可以了。
如果你有足够的主机来保证使用/ 21,我不能强调在内部运行一个/ 21的想法有多糟糕。
因为你需要/ 21(2000+主机)/ 22(1000+主机)还不够好。 如果你用10个主机运行一个/ 21,那没关系。
如果这是一个服务器场,广播stream量低,理解,那么没有问题。
但是,如果(听起来)如果你在同一个子网中运行带有1049个以上工作站的/ 21,你将会遇到不好的时间。 您的广播stream量将是一个垃圾邮件缠身的噩梦。
SNAT / MASQUERADING在POSTROUTING中,所以根据定义,路由不再是一个问题。
您甚至可以在本地系统之一中更改路由表,这样它就不会尝试通过其链路在本地为192.168.0.0/21发送数据包,而是将它们发送到网关:
ip route del 192.168.0.0/21 当然,在网关上你必须允许在局域网内转发。 但是你可以在本地使用SNAT。 这可能比testing连接到客户更有趣。 🙂