Wir entschuldigen uns im Voraus für die misslungene Terminologie. Ich habe das Server Fault Subnet Wiki gelesen. Dies ist jedoch eher eine Frage des ISP.
Ich habe derzeit einen/27-Block öffentlicher IPs. Ich gebe meinem Router die erste Adresse in diesem Pool und verwende dann 1-zu-1-NAT für alle Server hinter der Firewall, damit jeder seine eigene öffentliche IP erhält.
Der Router/die Firewall verwendet derzeit (tatsächliche Adressen wurden zum Schutz der Schuldigen entfernt):
IP Address: XXX.XXX.XXX.164
Subnet mask: 255.255.255.224
Gateway: XXX.XXX.XXX.161
Was ich gerne tun würde, ist mein Subnetz in zwei separate/28 Subnetze aufzuteilen. Und dies auf eine Art und Weise, die für den ISP transparent ist (d. H. Sie sehen, dass ich weiterhin eine einzige/27 betreibe).
Derzeit sieht meine Topologie folgendermaßen aus:
ISP
|
[Router/Firewall]
|
[Managed Ethernet Switch]
/ \ \
[Server1] [Server2] [Server3] (etc)
Stattdessen möchte ich, dass es so aussieht:
ISP
|
[Switch]
/ \
[Router1] [Router2]
| | | |
[S1] [S2] [S3] [S4] (etc)
Wie Sie sehen, würde ich mich in zwei separate Netzwerke aufteilen.
Ich habe Schwierigkeiten mit den richtigen IP-Einstellungen für Router1 und Router2.
Folgendes habe ich jetzt:
Router1 Router2
IP Address: XXX.XXX.XXX.164 XXX.XXX.XXX.180
Subnet mask: 255.255.255.240 255.255.255.240
Gateway: XXX.XXX.XXX.161 XXX.XXX.XXX.161
Beachten Sie, dass Sie normalerweise von Router2 ein Gateway von .177 erwarten, aber ich versuche, beide dazu zu bringen, das Gateway zu verwenden, das mir ursprünglich vom ISP zur Verfügung gestellt wurde.
Ist dieses Subnetting tatsächlich möglich, oder bin ich mit den grundlegendsten Konzepten völlig überfordert?
-
Bearbeiten
Mehrere Leute haben nach dem Warum gefragt. Es gibt verschiedene Gründe, warum ich das machen möchte:
Mein Router/Firewall blockiert alle 6-8 Wochen. Ich habe eine ganze Reihe von Geräten durchlaufen: NetGear FVS318, Linksys RV042, Watchguard Firebox Edge X20e und einen Cisco ASA 5505 . Das Gleiche ist bei allen Geräten geschehen, und dies ist offenbar auf das Dutzend IPSec-VPN-Tunnel zurückzuführen, die das Gerät verwaltet. Immer, wenn es blockiert, muss ein Netzwerktechniker das Gerät physisch aus- und wieder einschalten.
Ich habe einen großen Client und ungefähr die Hälfte der Server im Schrank gehören ihnen. Ich möchte, dass dieser Client die Firewall- und VPN-Regeln selbst verwalten kann, anstatt mich zu durchlaufen. Auf diese Weise würde ich ihnen Root-Zugriff auf Router2 geben, und sie könnten alles selbst verwalten, ohne Probleme mit Router1 zu verursachen.
Das sieht alles perfekt aus. Beachten Sie, dass die Server die .240-Netzmaske und entweder .164 oder .180 als Gateway verwenden. Möchten Sie wirklich zwei IPs für das Subnetting verschwenden? Sie müssen die Netzwerkadressen .160 und .176 und die Broadcast-Adressen .175 und .191 reservieren. Wenn Sie kein Subnetz haben, müssen Sie dies nicht tun, also können .175 und .176 Hosts sein.
Wenn Sie kein NAT verwenden, d. h. wenn Sie tatsächlich Routing durchführen und reale Server unter diese IP-Adresse setzen möchten, können Sie Ihr Netzwerk nicht auf eine für Ihren Provider transparente Art und Weise subnetzen. Sie müssen ihre Routerkonfiguration und ihre Routingtabellen ändern, um Ihre neue Netzwerkkonfiguration zu berücksichtigen. Möglicherweise erhalten Sie zwei Gateway-Adressen und/oder zwei Router (oder indem Sie eine neue Route einrichten, wenn Sie ein Subnetz "hinter" und "ein" stellen) Ihre Firewall in der Mitte).
Wenn Sie jedoch weiterhin NAT verwenden und einfach die Hälfte der Adressen einer Firewall und die Hälfte einer anderen Adresse zuweisen, werden ihre externen IP-Adressen Ihrem ISP als immer noch in einem einzelnen Subnetz angezeigt, und alles funktioniert einwandfrei .
Es macht für Ihren ISP keinen Unterschied, wenn Sie diesen 27-Block in kleinere Blöcke aufteilen. Aus ihrer Sicht wissen sie nur, dass er diesen 27-Block an die externe Schnittstelle Ihres Routers liefern muss.
Sie benötigen einen Router mit drei separaten Schnittstellen (ein WAN, zwei LAN) oder einen Router, der mehrere Bereiche seiner Schnittstellen unterstützt.
Sie können den Block dann in zwei separate Blöcke aufteilen x.x.x.160/28 und x.x.x.176/28
In Ihrem Beispiel waren Ihre Standard-Gateways jedoch falsch. Jeder dieser Blöcke verfügt über ein eigenes Standard-Gateway, da jeder der neuen/28-Blöcke auf einer Schnittstelle des Routers eingerichtet werden muss. Die IP-Adresse auf dieser Schnittstelle ist das Gateway für den Rest des Blocks.
ISP
|
|
| assumes that this link is not part
| of x.x.x.160/27
|
|
[Router] This router will need three routed ports
/.161 \\ .177
/ \\
[Switch] [Switch]
| | | |
[S1] [S2] [S3] [S4] (etc)
Ja, Sie sollten Ihre c.x.x.160/27 in x.x.x.160/28 und x.x.x.176/28 teilen können. Möglicherweise muss Ihr Router2 Router1 als nächsten Hop verwenden, möglicherweise durch eine Punkt-zu-Punkt-Verbindung zwischen ihnen und eine/30 aus einem privaten Bereich als Link.
Durch die Aufteilung der/27 in zwei/28s erhalten Sie weniger verwendbare IP-Adressen.
Wenn Sie uns sagen können, warum Sie es auflösen möchten, gibt es möglicherweise eine andere Option, um das zu erreichen, was Sie tun möchten.
Verwenden einer fiktiven Adresse mit der Endung .160
Network* Net Broadcast CIDR Mask UsableHosts
192.168.254.160 192.168.254.175 28 255.255.255.240 14 REQ 14
192.168.254.176 192.168.254.191 28 255.255.255.240 14 REQ 14
* Von meinem Subnetzrechner/Planer