fragen stichworte

Kann ich ein Subnetz subnetzen?

Wir entschuldigen uns im Voraus für die misslungene Terminologie. Ich habe das Server Fault Subnet Wiki gelesen. Dies ist jedoch eher eine Frage des ISP.

Ich habe derzeit einen/27-Block öffentlicher IPs. Ich gebe meinem Router die erste Adresse in diesem Pool und verwende dann 1-zu-1-NAT für alle Server hinter der Firewall, damit jeder seine eigene öffentliche IP erhält.

Der Router/die Firewall verwendet derzeit (tatsächliche Adressen wurden zum Schutz der Schuldigen entfernt):

IP Address:  XXX.XXX.XXX.164
Subnet mask: 255.255.255.224
Gateway:     XXX.XXX.XXX.161

Was ich gerne tun würde, ist mein Subnetz in zwei separate/28 Subnetze aufzuteilen. Und dies auf eine Art und Weise, die für den ISP transparent ist (d. H. Sie sehen, dass ich weiterhin eine einzige/27 betreibe).

Derzeit sieht meine Topologie folgendermaßen aus:

    ISP
      |
[Router/Firewall]
      |
  [Managed Ethernet Switch]
 /      \         \
[Server1] [Server2] [Server3] (etc)

Stattdessen möchte ich, dass es so aussieht:

      ISP
        |
    [Switch]
   /     \
[Router1] [Router2]
  |    |    |   |
[S1] [S2] [S3] [S4] (etc)

Wie Sie sehen, würde ich mich in zwei separate Netzwerke aufteilen.

Ich habe Schwierigkeiten mit den richtigen IP-Einstellungen für Router1 und Router2.

Folgendes habe ich jetzt:

             Router1              Router2
IP Address:   XXX.XXX.XXX.164      XXX.XXX.XXX.180
Subnet mask:  255.255.255.240      255.255.255.240
Gateway:      XXX.XXX.XXX.161      XXX.XXX.XXX.161

Beachten Sie, dass Sie normalerweise von Router2 ein Gateway von .177 erwarten, aber ich versuche, beide dazu zu bringen, das Gateway zu verwenden, das mir ursprünglich vom ISP zur Verfügung gestellt wurde.

Ist dieses Subnetting tatsächlich möglich, oder bin ich mit den grundlegendsten Konzepten völlig überfordert?

-

Bearbeiten

Mehrere Leute haben nach dem Warum gefragt. Es gibt verschiedene Gründe, warum ich das machen möchte:

  1. Mein Router/Firewall blockiert alle 6-8 Wochen. Ich habe eine ganze Reihe von Geräten durchlaufen: NetGear FVS318, Linksys RV042, Watchguard Firebox Edge X20e und einen Cisco ASA 5505 . Das Gleiche ist bei allen Geräten geschehen, und dies ist offenbar auf das Dutzend IPSec-VPN-Tunnel zurückzuführen, die das Gerät verwaltet. Immer, wenn es blockiert, muss ein Netzwerktechniker das Gerät physisch aus- und wieder einschalten.

  2. Ich habe einen großen Client und ungefähr die Hälfte der Server im Schrank gehören ihnen. Ich möchte, dass dieser Client die Firewall- und VPN-Regeln selbst verwalten kann, anstatt mich zu durchlaufen. Auf diese Weise würde ich ihnen Root-Zugriff auf Router2 geben, und sie könnten alles selbst verwalten, ohne Probleme mit Router1 zu verursachen.

antworten

Das sieht alles perfekt aus. Beachten Sie, dass die Server die .240-Netzmaske und entweder .164 oder .180 als Gateway verwenden. Möchten Sie wirklich zwei IPs für das Subnetting verschwenden? Sie müssen die Netzwerkadressen .160 und .176 und die Broadcast-Adressen .175 und .191 reservieren. Wenn Sie kein Subnetz haben, müssen Sie dies nicht tun, also können .175 und .176 Hosts sein.

Wenn Sie kein NAT verwenden, d. h. wenn Sie tatsächlich Routing durchführen und reale Server unter diese IP-Adresse setzen möchten, können Sie Ihr Netzwerk nicht auf eine für Ihren Provider transparente Art und Weise subnetzen. Sie müssen ihre Routerkonfiguration und ihre Routingtabellen ändern, um Ihre neue Netzwerkkonfiguration zu berücksichtigen. Möglicherweise erhalten Sie zwei Gateway-Adressen und/oder zwei Router (oder indem Sie eine neue Route einrichten, wenn Sie ein Subnetz "hinter" und "ein" stellen) Ihre Firewall in der Mitte).

Wenn Sie jedoch weiterhin NAT verwenden und einfach die Hälfte der Adressen einer Firewall und die Hälfte einer anderen Adresse zuweisen, werden ihre externen IP-Adressen Ihrem ISP als immer noch in einem einzelnen Subnetz angezeigt, und alles funktioniert einwandfrei .

Es macht für Ihren ISP keinen Unterschied, wenn Sie diesen 27-Block in kleinere Blöcke aufteilen. Aus ihrer Sicht wissen sie nur, dass er diesen 27-Block an die externe Schnittstelle Ihres Routers liefern muss.

Sie benötigen einen Router mit drei separaten Schnittstellen (ein WAN, zwei LAN) oder einen Router, der mehrere Bereiche seiner Schnittstellen unterstützt.

Sie können den Block dann in zwei separate Blöcke aufteilen x.x.x.160/28 und x.x.x.176/28

In Ihrem Beispiel waren Ihre Standard-Gateways jedoch falsch. Jeder dieser Blöcke verfügt über ein eigenes Standard-Gateway, da jeder der neuen/28-Blöcke auf einer Schnittstelle des Routers eingerichtet werden muss. Die IP-Adresse auf dieser Schnittstelle ist das Gateway für den Rest des Blocks.

      ISP
        |
        |
        | assumes that this link is not part
        | of x.x.x.160/27
        |
        |
    [Router]  This router will need three routed ports
  /.161   \\ .177
 /        \\
 [Switch] [Switch]
  |    |    |   |
[S1] [S2] [S3] [S4] (etc)

Ja, Sie sollten Ihre c.x.x.160/27 in x.x.x.160/28 und x.x.x.176/28 teilen können. Möglicherweise muss Ihr Router2 Router1 als nächsten Hop verwenden, möglicherweise durch eine Punkt-zu-Punkt-Verbindung zwischen ihnen und eine/30 aus einem privaten Bereich als Link.

Durch die Aufteilung der/27 in zwei/28s erhalten Sie weniger verwendbare IP-Adressen.

Wenn Sie uns sagen können, warum Sie es auflösen möchten, gibt es möglicherweise eine andere Option, um das zu erreichen, was Sie tun möchten.

Verwenden einer fiktiven Adresse mit der Endung .160

Network*          Net Broadcast     CIDR Mask              UsableHosts 
192.168.254.160   192.168.254.175   28   255.255.255.240   14          REQ 14  
192.168.254.176   192.168.254.191   28   255.255.255.240   14          REQ 14  

* Von meinem Subnetzrechner/Planer