Eu desenvolvo web em um pequeno escritório e preciso ter vários servidores físicos e virtuais que possam ser acessados pela Internet. Também tenho vários dispositivos (computadores, laptops, tablets, impressoras, etc.) que também precisam de conexões. Obtive uma sub-rede de 8 IPs do meu ISP e, embora seja adequada para os servidores web, é pequena demais para tudo que precisa de acesso à rede.
Meu roteador é um ASUS RT-N16 rodando DD-WRT. Sou inteligente o suficiente sobre esse tópico de roteamento para ser perigoso, pense em uma criança de 2 anos com um marcador mágico. Gostaria de manter minha rede interna NAT na rede 192.168.xx e rotear o tráfego 68.69.xx 255.255.255.248 diretamente para os servidores. A rede física consiste em um roteador DD-WRT de 4 portas e um switch gig não gerenciado. Tenho uma conexão de fibra com o escritório que funciona como porta Ethernet. Em outras palavras, posso conectar meu laptop diretamente nele e ter acesso à internet. Não há login ou senha e o roteador está configurado para obter DHCP do ISP e fornecer endereços DHCP para a rede interna.
O que fiz até agora foi pesquisar no Google e tentar diferentes configurações com pouco sucesso. No final decidi que nem sabia como fazer as perguntas necessárias.
Minhas perguntas são:
Esta é a melhor maneira de configurar a rede?
Como você faz isso? VLANs? Vários roteadores?
Eu nunca tive que configurar um roteador usando nada além da GUI, então, se isso for algo de linha de comando, seja gentil.
Responder1
Em primeiro lugar, esta pergunta teria uma resposta melhor no Serverfault.com, pois é voltada para ambientes de negócios e não para perguntas do tipo service desk de usuário único. Embora isso deva ser debatido por alguns. Alternativamente, você precisará encontrar um consultor de engenheiro de rede para projetar isso para você ou fazer muitas leituras sobre natting IP e roteamento vlan.
Você pode fazer isso de algumas maneiras diferentes, dependendo do seu orçamento, mas eu procuraria uma solução Cisco, por ter vlans roteáveis e IP NAT (Network Address Translation). Neste cenário, você teria várias Vlans em execução em um switch Cisco (pode usar um switch de camada 2 e fazer com que seu roteador roteie as vlans ou uma camada 3 para você) e um roteador Cisco cuidando do NAT para todos os seus IPs externos para seus endereços internos e Vlans. Ao configurar o natting IP em roteadores CIsco, você restringe o acesso configurando acls e roteará para vlan usando a marcação dot1q.
Aqui está um exemplo de design que teria:
1-2 Endereço IP público atribuído a IPs privados da Vlan 2 (laptops, tablets, etc.) 1-2 Endereço IP público atribuído ao estágio vlan 3 (ambiente de teste de estágio) 2-6 Endereços IP públicos atribuídos a servidores Web vlan 4
Boa sorte..
Responder2
Atribua um endereço estático ao seu gateway, faça NAT em todo o resto e execute cada servidor web em uma porta diferente. Configure seu roteador para encaminhar as portas apropriadas (80) para o endereço IP local de cada servidor.
Responder3
Acho que esse problema representa um problema em um nível muito mais alto, talvez na camada de aplicação - e não no roteamento. Para ter vários servidores rodando internamente no mesmo endereço e porta externos, é necessário que haja um dispositivo intermediário que entenda solicitações HTTP de nível superior. Este dispositivo também teria a capacidade de analisar o domínio a partir da estrutura de URL e consultar simultaneamente os servidores DNS internos para obter a resolução apropriada. Também conhecido comoproxy reverso.
Essencialmente, as solicitações de DNS externas são enviadas aos servidores DNS internos da sua rede. Quando isso acontecer, os navegadores enviarão solicitações HTTP através do gateway NAT apenas para serem interceptadas por um servidor proxy reverso que analisa o domínio a partir dos cabeçalhos, resolve os nomes associados internamente e encaminha a solicitação para o servidor correto.
Responder4
Dado o que estou vendo aqui, existem algumas coisas:
- Encaminhe a porta 80 do IP estático para os servidores que não estão bagunçados o suficiente para justificá-lo.
- Para acesso aleatório ao dispositivo interno, qualquer um dos seus IPs estáticos pode ser usado como IP de saída NAT. É melhor reservar um IP apenas por motivos de reputação de IP, mas com apenas 6 IPs utilizáveis para trabalhar, isso pode não ser razoável.
- Para os flocos de neve especiais, você pode ser bastante criativo comHAProxyconfigurações. Você pode configurar regras com base no nome do servidor (isso pressupõe que nenhum SSL esteja envolvido) que então roteiam para servidores back-end configurados com base nesse nome. Mais ou menos como vhosts, mas tratados no nível do proxy, e não no próprio servidor web.
Nota lateral: é por isso que o IPv6 éo futuro, esse tipo de problema meio que desaparece. Mas isso não ajuda você agora (a menos, é claro, que seus clientes tenham suporte para v6).
Sua configuração parece bastante normal para uma configuração de pequeno escritório.