我有一个Draytek Vigor 2820,它连接到三个千兆位的Netgear Layer 2交换机。 目前networking相当简单,192.168.1.0/24。 一个networking,我有7台服务器,大约50台电脑,6台networking打印机,16台IP电话和5台和10台无线笔记本电脑之间通过三个无线接入点连接。 虽然我们有足够的IP地址可用,但我认为在识别使用IP地址的设备方面效率会更高一些。 我们有三个分支,也通过VPN隧道连接。 到目前为止,我们有以下IP结构: Main Practice – 192.168.1.0/24 Branch 1. – 192.168.2.0/24 Branch 2. – 192.168.3.0/24 Branch 3. – 192.168.4.0/24 我们把他们称为分支机构,但他们大部分是基本上永久的家庭工人。 设置为任何非隧道VPN用户分配一个大于192.168.1.200/24的IP地址。 我想要做的就是把所有的服务器放在10.1.1.0/24上,10.1.2.0/24上的无线接入点,或者10.1.3.0/24上的打印机。 我不认为我们的networking需要VLAN,但我认为上述想法会简化事情。 更不用说使我们的可用主机地址数量更大。 使用一台路由器,是否可以使用相同的网关将静态路由添加到不同的子网? 我有一个在Windows 2008 R2上运行的DHCP服务器,我认为我可以为每个新的子网添加一个新的范围? 这个计划有什么主要的缺点?
我们有2个上行ISP A和ISP B. ISP A(10Mb / s)是我们的主要上行带宽。 它通过bgp发送给我们的默认路由。 ISP B(2Mb / s)是我们的备份上行,带宽很小,但它向我们发送完整路由表。 我是BGP新手,所以我正在寻找一种方法来确保大多数入站和出站stream量都使用ISP A并故障切换到ISP B.那么最好的方法是什么?
我的公司在AWS上运行的商业Web服务使用通配符SSL证书(适用于* .example.com)。 多个合作伙伴拥有子域名,并且需要SSL( https://partner1.example.com,https : //partner2.example.com等),并且我们为其提供HTML或JSON响应。 我们的生产网站有一个面向networking的ELB,安装了我们的SSL证书。 ELB平衡并终止SSL到我们VPC中的一组生产服务器实例。 我们的networking应用程序知道如何根据子域名提供正确的合作伙伴HTML / JSON。 我想尽可能简单地复制这个testing环境(例如QA,Staging,Demo)。 但是testing和生产环境不能是相同的服务器实例; 我需要知道,如果我搞砸我们的testing环境,我不会杀死生产。 理想情况下,处理生产stream量的相同ELB可能以某种方式将stream量路由到我的testing服务器,也许如果他们使用已知的IP地址或DNS子域名? 我纠正这是不可能的吗? 我想我可以在每个testing环境中设置一个带有SSL证书的ELB,每个“平衡”到一个服务器,但是这看起来过于复杂,我猜也是昂贵的。 所有实例,生产和testing都在我们的VPC中运行。 但是目前只有生产集群在ELB上设置了SSL(终止SSL),并直接将HTTP请求传递给实例本身。 testing服务器接受HTTP。 我设置了公共弹性IP和DNS名称(staging.example.com,qa.example.com,demo.example.com)…但它们不受SSL的保护。 testing服务器实例上几乎没有关键或客户数据,并且它们是安全的,并且正确地进行了修补,因为任何面向Web的服务器应该是(我希望!!)。 不过,我希望SSL不仅可以提高安全性,还可以使我的testing环境尽可能与我的生产环境相匹配。 除了我们的登台服务器之外,其他环境都由Apache命名的虚拟主机configuration中的单个实例(例如,同一台服务器上的demo和qa)支持。 所以,为了testing,很多网站,但只有less数服务器。 有没有办法让我的通配符SSL证书只能安装在我的负载平衡器上(或者可能还有一个),或者是一些其他的configuration,使我能够根据IP检测HTTP请求并将其路由到正确的testing服务器域名(甚至HTTP头)? 我知道这是一个复杂的问题。 我很了解AWS,安全和networking,但我仍然试图找出路由,甚至在VPC环境中的内部DNS,所以可能对我的select一无所知。
我目前正在devise办公室里的networking,这个networking现在比较小,但是计划发展得非常快。 devise已经完成了,在实施过程中发生了问题。 所以情况如下: 4个子网 10.70.0.0/24 10.70.1.0/24 10.70.2.0/24与DHCP 10.70.3.0/24 和一个DMZnetworking 10.10.10.0/24 其中一个子网必须拥有DHCP,因为它是专门用于托pipe办公室中所有计算机的子网。 我们目前拥有的硬件是防火墙,就是我们与外部networking的接口,这个接口有5个接口,其中一个是从ISP那里获得连接。 连接到这个防火墙,然后是HP ProCurve 2650三层交换机。 关键是我不知道如何实施它们。 我已经读了,我也应该使用VLAN,这很好,但我怎么能连接整个? 此外,我们有2个Active Directory服务器,它们是10.70.0.0/24networking的一部分,同时也是默认网关的防火墙具有10.70.0.1地址。
我的Windows笔记本电脑直接连接到192.168.1.0/24(无线局域网)。 我通过连接到两个networking的路由器访问10.21.0.0/16。 这个configuration路由工作正常。 我有一个VPN,连接到10.0.0.0/8。 VPNnetworking实际上并不使用10.21.0.0/16范围内的任何IP。 所以我应该可以configuration我的路由表,通过无线局域网路由所有的10.21.0.0/16 IP地址,而通过VPN路由表的所有10.0.0.0/8路由器。 我的理解是,如果10.21.0.0的指标低于10.0.0.0,我可以这样做。 自动为VPN(10.0.0.0)分配度量20.我手动为WLAN分配了一个度量标准1.我使用以下命令手动将条目添加到路由表中: route add 10.21.0.0 mask 255.255.0.0 192.168.1.201 metric 1 然后为该路线分配一个度量2(这是预期的)。 问题是它不起作用。 我无法在10.21.0.0networking上ping任何计算机。 但是我可以访问10.0.0.0上的其他东西。 我也可以访问192.168.1.0上的东西。 为了debugging,我做了以下。 在路由器上运行tcpdump(192.168.1.201)。 我可以validation没有数据包的10.21.0.0到达该接口。 禁用路由器上的iptables。 禁用Windows防火墙。 在我的笔记本电脑上运行wireshark,尝试查看ping请求转到哪个接口。 但我不能看到他们去任何地方! ping命令不会收到任何“目标不可达”消息。 这是路由表的相关部分。 IPv4 Route Table =========================================================================== Active Routes: Network Destination Netmask Gateway Interface Metric 0.0.0.0 0.0.0.0 192.168.1.201 192.168.1.18 2 10.0.0.0 255.0.0.0 On-link 10.55.44.203 20 10.21.0.0 255.255.0.0 […]
有人通过描述如何使用源策略路由创build一个新的路由表来回答我先前的问题 : echo 13 eth3 >> /etc/iproute2/rt_tables ip route add default via 10.20.0.1 table eth3 ip rule add from 10.20.0.2 lookup eth3 如何使这些“ip”命令在重新启动后保持不变? 我假设有一些适当的行被添加到/etc/network/interfaces 。 这是否马上(向界面添加“上”线),还是有另一种方法呢? iface eth3 inet static address 10.20.0.2 netmask 255.255.255.0 up ip route add default via 10.20.0.1 table eth3 up ip rule add from 10.20.0.2 lookup eth3 down ip rule del […]
build立: 位于路由器后面的Windows Server 2008计算机上的L2TP VPN服务器,位于调制解调器/路由器后面。 调制解调器/路由器(IP:192.168.2.1,子网:255.255.255.0,DHCP为路由器服务192.168.2.2) —- | _路由器(IP:192.168.2.2,子网:255.255.255.0,子局域网IP:192.168.0.1,子局域网子网:255.255.255.128,DHCP为计算机提供192.168.0。*) ———— | _ Windows Server 2008(IP:192.168.0.3,子网:255.255.255.128,从池中提供VPN IP地址… 192.168.0.130 – 192.168.0.140) 路由器将WS2008设置为主DNS,WS2008将查询转发给路由器以查找故障。 看到这个post的澄清。 我可以连接到VPN就好了,这是ipconfig的结果: PPP adapter Work VPN: Connection-specific DNS Suffix . : ss Description . . . . . . . . . . . : Work VPN Physical Address. . . . . . . […]
我有10.1.1.1和10.2.2.2绑定到eth0。 # ip address show dev eth0 2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000 link/ether 04:01:05:ff:42:01 brd ff:ff:ff:ff:ff:ff inet 10.2.2.2/24 brd 10.2.2.255 scope global eth0 inet 10.1.1.1/32 scope global eth0 inet6 fe80::601:5ff:feff:4201/64 scope link valid_lft forever preferred_lft forever # ip route get 10.1.1.1 local 10.1.1.1 dev lo src 10.1.1.1 问题A:为什么当IP绑定到eth0时使用“dev lo”? […]
我想设置我的CentOS 6.5盒子来把连接转到本地主机(127.0.0.1)到远程机器上的同一个端口(例如10.0.3.10)。 我已经尝试了下面的iptables规则,但是当我尝试连接,它只是挂起: iptables -t nat -I OUTPUT –src 0/0 –dst 127.0.0.1 -p tcp –dport 8888 \ -j DNAT –to-destination=10.0.3.10:8888 在远程机器上运行tcpdump ,我可以看到没有传入的stream量。 我做了一些谷歌search,但没有发现任何特别有用的东西。 我也确认我的sysctl.conf文件包含net.ipv4.ip_forward = 1 。 编辑我已经添加了日志logging以回应下面的评论之一。 当我去127.0.0.1:8888时,它不产生输出,但是当去10.0.3.10时产生输出: # Generated by iptables-save v1.4.7 on Tue Jul 29 12:52:17 2014 *nat :PREROUTING ACCEPT [0:0] :POSTROUTING ACCEPT [11:1008] :OUTPUT ACCEPT [11:1008] :LOGGING – [0:0] -A OUTPUT […]
我正在devise一个包含多个虚拟networking的Azure环境,并且要求所有networking都要连接; 任何networking中的虚拟机都应该能够与任何其他networking中的另一台虚拟机进行通信。 我可以使用全网状拓扑来连接这些networking,但是随着networking数量的增加,这种情况会很快失去控制,我真的不想设置和pipe理n(n-1)/ 2个 VPN连接。 我宁愿用集线器拓扑连接它们,如果达到每个虚拟networking10个连接的Azure限制,也许使用多个集线器。 但是,我遇到了一个问题:似乎没有办法在Azure中处理路由。 比方说,为了简单起见,我有三个虚拟networking: networkingA – 10.10.1.0/24 networkingB – 10.10.2.0/24 networkingC – 10.10.3.0/24 我想将networkingA连接到networkingB,将networkingB连接到networkingC; 我不想在networkingA和C之间build立直接连接:我想让networkingA通过networkingB与networkingC对话。 如果我掌握了网关,这将是一个完全没有问题的问题。 几条静态路线可以快速有效的解决这个问题。 但是,在Azure中,我无法find为虚拟networking定义其他路由的方法,因此我无法告诉网关A将networkingC的stream量发送到networkingB(反之亦然)。 这在Azure中如何实现?