服务器 Gind.cn
  1. 服务器 Gind.cn
  3. 在双WAN路由器中通过WAN2隧道SSH和数据库端口
Intereting Posts
DHCP在请求租约时删除现有的DNSlogging,而没有可用的 Cisco IP SLA监视器在tcpConnect上失败,但主机可以从路由器进行远程login mysqld:无法识别的服务 将nohupredirect到stdout 没有Active Directory的EC2 Windows上的共享文件夹 PowerShell – 将多个string添加到数组中的相同元素 Twitter的function为SharePoint 2007 用户权限 自动执行SSRS 2008 R2报告快照并使用最新数据运行报告 什么可以防止在MySQL主 – 主设置循环? 错误#1045 – 无法login到MySQL服务器 – > phpmyadmin iis客户端证书映射authentication 我如何在红帽企业Linux上configuration永久的arp条目? 使用Tomcat服务器进行生产 – 理想configuration Postfix和PHP脚本从地址

在双WAN路由器中通过WAN2隧道SSH和数据库端口

ISP-A:4mbps (1:1)光纤专线静态IP地址, ISP-B:带dynamicIP地址的20mbps (1:8)光纤连接。

目前我们只有一个ISP(ISP-A),由于带宽不足以满足每个人的需求(大约有25个人在浏览和访问AWS / Azure),所以我们打算在本地networking中添加另一个ISP他们可以浏览/邮寄和平。 ISP-B的成本低于ISP-A 20mbps,因为它不是1:1的连接,而且它们没有任何SLA。 我们的办公室分为Devs和Non Dev用户。

开发用户

  • 多数在局域网和WiFi上
  • 连接到AWS / Azure(需要作为实例的传入防火墙策略的固定IP连接)。
  • 需要浏览互联网(如果IP固定在这一点上并不重要)。 他们大多数做SO / Git / Bitbucket / YT等

非开发用户

  • 大部分在WiFi和局域网上
  • 浏览互联网,使用邮件/环聊/ skype / teamviewer,不需要任何静态IP地址。

一旦我们获得了第二个ISP-B,我想把所有的浏览stream量传送给ISP-B(20mbps),所有的开发者通过ISP-A(4mbps)连接到AWS / Azure。 所以我的计划是将ISP-A设置为WAN1和ISP-B作为WAN2,例如: 

WAN1 172.16.0.1 WAN2 172.16.1.1

需要做的是,每个人都通过ISP-B使用互联网。 开发人员使用SSH(端口22),数据库连接(端口5432)和一些其他需要通过ISP-A静态IP的端口。

正在使用的设备

  1. CISCO SG300-58pipe理型交换机
  2. TP-Link单WAN路由器
  3. 3倍Ubiquiti Unifi APs

拟购买设备

  1. Ubiquiti USG-Pro4(做双WAN)
  2. 2x更多Ubiquiti Unifi APs

总开发:10非开发总数:25

我怎样才能使他们通过WAN2使用互联网(浏览),而无需设置代理服务器?

所以我用USG-Pro-4完成了这个工作。

自定义规则需要通过SSH实现,因为在此阶段pipe理这些规则的UI尚不完整。

这个想法是通过WAN2发送端口22,5432,并在WAN1上保持Internet通信。

设备

  1. Cisco-SG300-52 – 执行DHCP – 172.16.0.1
  2. Unifi USG-Pro-4 – 双WAN路由器 – 172.16.0.5/16
    1. WAN1:192.168.1.2上的光纤多路复用器
    2. WAN2: – 192.168.2.1上的光纤到LAN介质转换器
  3. Unifi AP – 3x Nos,通过DHCP获取地址,unifi控制器用于pipe理组/ SSID等。

实施概述

  • LAN1:172.16.0.0/16
  • WAN1:192.168.1.2/29网关:192.168.1.1
  • WAN2:192.168.2.2/29网关:192.168.2.1

所有来自端口22和5432的LAN1的stream量都通过WAN2发送,USG-Pro-4上使用以下规则,这允许通过20mbps的线路和所有与数据库相关的工作和SSH通过WAN2(静态IP)。

USG-Pro-4的configuration示例 

 configure set protocols static table 1 route 0.0.0.0/0 next-hop 192.168.2.1 set firewall modify LOAD_BALANCE rule 2950 action modify set firewall modify LOAD_BALANCE rule 2950 modify table 1 set firewall modify LOAD_BALANCE rule 2950 source address 172.16.0.0/16 set firewall modify LOAD_BALANCE rule 2950 destination port 22 set firewall modify LOAD_BALANCE rule 2950 protocol tcp commit save

您可以使用此链接访问整个线程进行configuration。 一个大坦克你UBNT-jaffe 。

没有简单的方法将互联网分成两半,而不会将networking分裂成一半。 好消息是这听起来很像你想要做的事情。

如果您将VLAN100设置为使用ISP A,将VLAN200设置为使用ISP B,则可以执行VLAN间路由以获得两个networking的完全LAN访问权限,并将您的默认网关设置为各自的ISP以控制互联网访问。

现在,如果您想这样做,以便所有开发人员和非开发人员使用正确的VLAN,而不pipe他们是插入还是使用WiFi,则有多种方法来实现此目的。

对于您的WiFi,您可以使用WPA2-Enterprise身份validation和RADIUS服务器,该服务器指定将用户置于哪个VLAN上。 本质上而不是有相同的共享密钥连接到WiFi,用户连接用户名和密码。 他们提供的用户名表明他们将被放置在哪个VLAN上。 Ubiquiti UniFi(不错的select,顺便说一句)绝对可以做到这一点。

WiFi的另一个select就是拥有两个SSID,每个VLAN都有一个SSID,您只需指示您的员工连接到其中一个。 UniFi也可以很容易地做到这一点。

对于有线连接,您可以使用基于802.1x端口的networking访问控制。 本质上这与WPA2-企业类似。 当用户插入networking时,操作系统会检测到您需要进行802.1x身份validation,并提示用户inputnetworking用户名/密码(或者在Active Directory和Windows中通过)。 一旦通过authentication,802.1x将把用户放在适当的VLAN上。 这样用户就可以插入任何他们想要的地方,并仍然在正确的networking上。

另一个select,如果你的用户是静态的,就是手动分配基于端口的VLAN到他们的以太网端口,这样,任何坐下来并插入给定端口的人都将在两个networking中的一个上结束。

通过这个设置,开发人员可以直接通过Terminal / Putty连接到AWS / Azure,没有任何问题,但是他们也可以通过相同的网关进行浏览。

这是一个难以克服的难题。 如果您有一组非常特定的IP地址,那么一些路由规则可以派上用场。 但是,如果你有一个基本的SPI防火墙,他们往往会丢弃返回连接,因为他们没有看到它们启动(asynchronous路由)。

但是这听起来像开发者不会比现在更糟。 现在你正在将35个人推下一个4Mbps的pipe道。 现在你只是把10个人推下pipe道,所以它可能仍然是一个胜利。