このデータ センターのセットアップはどのように機能しますか? パブリック ゲートウェイ IP は、パブリック アドレスの一意のサブネットにルーティングできますか?

tag-icon tag-icon networking firewall routing nat sonicwall
このデータ センターのセットアップはどのように機能しますか? パブリック ゲートウェイ IP は、パブリック アドレスの一意のサブネットにルーティングできますか?

私たちはこれをまったく理解できず、このデータ センターにはこれがどのように機能するかを説明する実質的なサポートがありません。これは私たちにとって馴染みのない設定ですが、彼らはそれが彼らにとって標準であると保証しています。

私たちはドロップ用にパブリック IP アドレスの範囲を購入しました。彼らは私たちに次の情報を提供しました:

  • ファイバーリンク

    • ブロック: 152.160.28.76/30
    • サブネット: 255.255.255.252
    • ゲートウェイ: 152.160.28.77
    • 使用可能: 152.160.28.78
    • DNS1: 216.234.97.2
    • DNS2: 216.234.97.3

  • 無線LAN(購入したパブリックIPアドレス範囲)

    • LAN: 209.124.48.80/28
    • GW: 209.124.48.81
    • 使用可能: 209.124.48.82 - .95
    • サブネット: 255.255.255.240
    • DNS1: 216.234.97.2
    • DNS2: 216.234.97.3

当社のファイアウォール (SonicWall TZ 470) は、デフォルトの WAN 用のファイバー ドロップに接続されています。WAN インターフェイスを次のように設定するように指示されました。

  • WAN インターフェース (X8)
    • ゾーン: WAN
    • IPアドレス: 152.160.28.78
    • サブネット: 255.255.255.252
    • デフォルトゲートウェイ: 152.160.28.77
    • DNS サーバー 1: 216.234.97.2
    • DNS サーバー 2: 216.234.97.3

しかし、パブリック トラフィックは実際には 152.160.28.78 にルーティングされるべきではないと言われました。 引き続き、指定されたパブリック IP アドレス範囲を使用する必要があります。 これは... ある程度機能しますか? 方法がまったくわかりません。何が起こっているのか知りたいです。なぜなら、これらのパブリック IP アドレスを複数使用する必要があり、何をすべきかがわからないからです。

現在、3 つの VM を持つ VM ホストに直接接続された X0 LAN があり、NAT ルールによって次のパブリック IP アドレスの 1 つが VM ホストに取得されるようです。

  • LANインターフェースX0
    • IPアドレス: 10.20.0.1
    • サブネットマスク: 255.255.0.0
    • デフォルトゲートウェイ: (0.0.0.0)
  • VMホストサーバー
    • IPアドレス: 10.20.0.100
    • サブネット: 255.255.0.0
    • ゲートウェイ: 10.20.0.1
  • サーバー1
    • IPアドレス: 10.20.0.101
    • サブネット: 255.255.0.0
    • ゲートウェイ: 10.20.0.1
  • サーバー2
    • IPアドレス: 10.20.0.102
    • サブネット: 255.255.0.0
    • ゲートウェイ: 10.20.0.1
  • サーバー3 (リバースプロキシ)
    • IPアドレス: 10.20.0.103
    • サブネット: 255.255.0.0
    • ゲートウェイ: 10.20.0.1
  • NATルール
    • 宛先 209.124.48.83 -> 宛先 10.20.0.101
    • ソース 10.20.0.101 -> ソース 209.124.48.83

Server-2 と Server-3 は新しく追加されたものです。NAT ルールは正常に機能し、そのパブリック IP アドレスを Server-1 にルーティングしました。

209.124.48.84 <-> 10.20.0.103 の NAT ルールを追加してみました。これは機能していないようです。また、なぜ/どのように機能するかもわかりません。209.124.48.84 にルーティングされた DNS トラフィックが、何らかの方法で 10.20.0.101 の Server-1 に送信されることがありました。そして、この時点ですべてが不明瞭になります。2 つの異なるパブリック IP アドレスが、1 つのインターフェイスから VM ホストの 1 つの NIC に効果的に移動するとは考えられません。

とにかく、私が達成したいこと:

私たちは、WebサイトをServer-1(IISサーバー)からServer-2(Ubuntu/Apache)に分割しました。Server-1では、Webサイトはメインホストドメインのサブディレクトリで実行されます(www.website.com/app)。リバース プロキシ サーバーを使用して /app の場所を Server-2 に、その他すべてを Server-1 に誘導することで、これを維持したいと考えています。

Server-1は複数の異なるホストドメインをホストしています。これらのサイトすべてにリバースプロキシを使用するのは好ましくありません。ウェブサイトリバースプロキシへのDNS、その他すべて(例:www.otherwebsite.com) は引き続き Server-1 に直接アクセスできます。

残念ながら、パブリック トラフィックをリバース プロキシに効果的にルーティングすることができませんでした。そのためには、別のパブリック IP アドレスを使用する必要があると思われます。

私の質問は次のとおりです:

  • データ センターから提供されたこの設定とは何ですか? ここでは、これまで聞いたことのない概念が関係しているのでしょうか? これがどのように機能し、これらの IP アドレスを効果的に活用する方法について理解したいと思います。
  • この設定で上記を実現することは可能でしょうか? ハードウェアを追加する必要がありますか? 接続も追加する必要がありますか? VM ホストには 4 つの NIC があります。ファイアウォールの X1 を VM ホスト サーバーの NIC2 に接続しようと考えています。別のパブリック IP アドレスを別のサブネット/インターフェイスに NAT すると、ルーティングがうまく機能するようになるかもしれません。現在のパブリック IP アドレスがどのように機能しているのかまったくわからないので、何とも言えません。

また、このようなことが以前に質問/説明されていた場合はお詫び申し上げます。残念ながら、ここで何が起こっているのか、効果的に検索する方法さえよくわかりません。

答え1

この設定は、ユーザー側のインターフェースにプライマリ範囲 (152.160.28.76/30) とセカンダリ範囲 (209.124.48.80/28) があることを意味します。

これは通常、ポリシー ルーティングを介してトラフィックを適切なゲートウェイにルーティングする必要があることを意味しますが、152.160.28.77 と 209.124.48.81 はおそらく同じルータであり、上流に移動するトラフィックにはゲートウェイ IP がまったく示されないため、ほとんどの場合は必要ありません (必要な場所に到達するために ARP を使用します)。

SonicWall の機能についてはよくわかりませんが、通常のルーターでは、209.124.48.80/28 の範囲からアップリンク ポートにセカンダリ アドレスを設定し、必要に応じて NAT を実行します。

関連情報