우리 조직에 여러 개의 라우터가 있는데 라우팅이 예상대로 작동할 수 없습니다.
- 우리는 100.xxx/28이라고 부르는 공개 IP 주소의 수가 제한되어 있습니다.
- 내부 주소 공간은 172.16.xx입니다. 각 라우터는 내부 라우팅을 위해 /24 블록을 소유합니다.
- 모든 인터페이스에 대해 영역 1에서 실행되는 OSPF가 있습니다.
우리는 다음과 같은 라우터를 가지고 있습니다.
R1 - NAT가 있는 경계 라우터 - 172.16.1.0/24. 100.xx9의 기본 게이트웨이와 함께 100.xx13에 공용 IP가 있고 인터넷을 나머지 네트워크로 라우팅합니다. 이 예에서 100.xx13은 내가 제어하는 IP 주소인 반면, 100.xx9는 네트워크 외부에 있으며 ISP에 속합니다.
R2 - 172.16.2.0/24 R3 - 172.16.3.0/24 허브 라우터. 이 라우터는 R2, R4 및 R5 R4에 연결됩니다. - 172.16.4.0/24(int g1)는 내부 VLAN(int g2) - 172.16.0.24에 연결됩니다.
R5 - 172.16.5.0/24. 이 라우터는 R3에 연결됩니다. 이 라우터에 VPN을 Azure에 연결하려고 합니다. 이 VPN 뒤에는 여러 VM이 있는 추가 네트워크가 있습니다. 이를 위해서는 공개 IP 중 하나를 사용해야 합니다. 따라서 우리는 외부 인터페이스(int g 2)에 100.xx14를 할당했습니다. R5의 IP 주소와 마찬가지로 100.xx9의 게이트웨이가 있습니다. 그러나 우리는 이 R5 인터페이스 2가 일반 인터넷 트래픽에 사용되는 것을 원하지 않습니다. VPN 트래픽에만 사용되어야 합니다.
문제는 이것이다.
R5 int g2가 종료 상태인 경우 NAT는 네트워크 전체에서 올바르게 작동합니다. 특히 R4를 게이트웨이로 사용하는 172.16.0.0/24 네트워크의 컴퓨터는 R4, R3, R2 및 R1(경계 라우터)을 통해 인터넷을 탐색할 수 있습니다.
그러나 R5 int g2(즉, 공용 IP가 있는 인터페이스)를 가져오지만 기본 게이트웨이로 사용하지 않으면 내부 172.16.0.0/24 네트워크의 인터넷 트래픽이 중지됩니다. . Traceroute를 실행할 때 트래픽이 대신 R4, R3, R5를 통해 나가려고 하는 것을 발견했습니다.
그렇다면 문제는 R5가 아닌 R1/Nat 라우터를 통해 트래픽을 강제할 수 있느냐는 것입니다.
감사해요