¿Cómo funciona la configuración de este centro de datos? ¿La IP de la puerta de enlace pública puede enrutarse a una subred única de direcciones públicas?

tag-icon tag-icon networking firewall routing nat sonicwall
¿Cómo funciona la configuración de este centro de datos? ¿La IP de la puerta de enlace pública puede enrutarse a una subred única de direcciones públicas?

No hemos podido resolver esto en absoluto y este centro de datos no tiene soporte real que explique cómo funciona. Esta es una configuración que no conocemos, pero nos aseguran que es estándar para ellos.

Compramos una variedad de direcciones IP públicas para nuestro lanzamiento. Nos proporcionaron esta información:

  • Enlace de fibra

    • Bloquear: 152.160.28.76/30
    • Subred: 255.255.255.252
    • Puerta de enlace: 152.160.28.77
    • Utilizable: 152.160.28.78
    • DNS1: 216.234.97.2
    • DNS2: 216.234.97.3

  • LAN(rango de direcciones IP públicas que compramos)

    • LAN: 209.124.48.80/28
    • GW: 209.124.48.81
    • UTILIZABLES: 209.124.48.82 - .95
    • SUBRED: 255.255.255.240
    • DNS1: 216.234.97.2
    • DNS2: 216.234.97.3

Nuestro firewall (SonicWall TZ 470) está conectado a la conexión de fibra para su WAN predeterminada. Me indicaron que configurara la interfaz WAN de la siguiente manera:

  • Interfaz WAN (X8)
    • Zona: WAN
    • Dirección IP: 152.160.28.78
    • Subred: 255.255.255.252
    • Puerta de enlace predeterminada: 152.160.28.77
    • Servidor DNS 1: 216.234.97.2
    • Servidor DNS 2: 216.234.97.3

Sin embargo, nos dijeron que el tráfico público en realidad no debería dirigirse a 152.160.28.78. Aún deberíamos usar el rango de direcciones IP públicas que nos dieron. ¿Cuál... funciona más o menos? No tengo idea de cómo y me encantaría saber qué está pasando, porque ahora que necesito usar más de una de estas direcciones IP públicas, no estoy seguro de qué hacer.

Entonces tenemos nuestra LAN X0 actual, que está conectada directamente a un host de VM con tres VM, y una regla NAT que parece enviarle una de estas direcciones IP públicas:

  • Interfaz LAN X0
    • Dirección IP: 10.20.0.1
    • Máscara de subred: 255.255.0.0
    • Puerta de enlace predeterminada: (0.0.0.0)
  • Servidor host de máquina virtual
    • Dirección IP: 10.20.0.100
    • Subred: 255.255.0.0
    • Puerta de enlace: 10.20.0.1
  • Servidor 1
    • Dirección IP: 10.20.0.101
    • Subred: 255.255.0.0
    • Puerta de enlace: 10.20.0.1
  • Servidor-2
    • Dirección IP: 10.20.0.102
    • Subred: 255.255.0.0
    • Puerta de enlace: 10.20.0.1
  • Servidor-3 (Proxy inverso)
    • Dirección IP: 10.20.0.103
    • Subred: 255.255.0.0
    • Puerta de enlace: 10.20.0.1
  • reglas NAT
    • Destino 209.124.48.83 -> Destino 10.20.0.101
    • Fuente 10.20.0.101 -> Fuente 209.124.48.83

Server-2 y Server-3 son nuevas incorporaciones. Las reglas NAT han funcionado bien para enrutar esa dirección IP pública al Servidor-1.

Intenté agregar reglas NAT para 209.124.48.84 <-> 10.20.0.103. Esto no pareció funcionar. Tampoco sé por qué/cómo sería. A veces tomaba el tráfico DNS enrutado a 209.124.48.84 y de alguna manera lo enviaba al Servidor-1 en 10.20.0.101. Y sí, todo se vuelve turbio en este punto. No esperaría que dos direcciones IP públicas diferentes viajen efectivamente desde una interfaz a una NIC de un host de VM.

Así que de todos modos,lo que estoy buscando lograr:

Dividimos un sitio web del Servidor-1 (servidor IIS) al Servidor-2 (Ubuntu/Apache). En el Servidor-1, el sitio web se ejecuta en un subdirectorio del dominio del host principal (www.sitioweb.com/app). Nos gustaría preservar esto mediante el uso de un servidor proxy inverso para dirigir la ubicación /app al Servidor-2 y todo lo demás al Servidor-1.

El servidor 1 también alberga varios dominios de host diferentes. Preferiría no utilizar el proxy inverso para cada uno de estos sitios. solo quiero enviarwww.sitioweb.comDNS al proxy inverso y todo lo demás (por ejemplo:www.otrositioweb.com) aún puede ir directamente al Servidor-1.

Desafortunadamente, no pude enrutar ningún tráfico público de manera efectiva al proxy inverso, lo que supongo que implicaría el uso de otra de estas direcciones IP públicas.

Entonces mis preguntas son:

  • ¿Cuál es esta configuración que me ha dado el centro de datos? ¿Hay algún concepto aquí del que nunca he oído hablar? Me gustaría entender cómo funciona esto y cómo puedo utilizar eficazmente estas direcciones IP.
  • ¿Es posible con esta configuración lograr lo anterior? ¿Necesitaría más hardware? ¿Más conexiones? El VM Host tiene 4 NIC. Estaba pensando en conectar X1 del firewall a la NIC2 del servidor VM Host, y tal vez podría hacer que el enrutamiento funcione mejor si hago NAT con otra dirección IP pública a una subred/interfaz diferente. Es difícil decirlo porque realmente no tengo ni idea de cómo funciona la dirección IP pública actual.

Y me disculpo si se han preguntado/explicado cosas como esta antes. Desafortunadamente, no estoy seguro de qué está en juego aquí para siquiera buscarlo de manera efectiva.

Respuesta1

Esta configuración significa que en la interfaz frente a usted tienen su rango principal (152.160.28.76/30) y un secundario (209.124.48.80/28).

Si bien esto generalmente significa que debe enrutar el tráfico a una puerta de enlace adecuada a través de una política de enrutamiento, en la mayoría de los casos no es necesario ya que 152.160.28.77 y 209.124.48.81 probablemente sean el mismo enrutador y el tráfico que viaja en sentido ascendente no tiene ninguna indicación de la IP de la puerta de enlace en ningún caso. (Utiliza ARP para llegar a donde necesita ir).

No estoy seguro de las capacidades de SonicWall, pero en un enrutador normal se configura una dirección secundaria en el puerto de enlace ascendente desde el rango 209.124.48.80/28 y luego se realiza NAT según sea necesario.

información relacionada