Como funciona essa configuração de data center? O IP do gateway público pode ser roteado para uma sub-rede exclusiva de endereços públicos?

tag-icon tag-icon networking firewall routing nat sonicwall
Como funciona essa configuração de data center? O IP do gateway público pode ser roteado para uma sub-rede exclusiva de endereços públicos?

não conseguimos descobrir isso e este data center não tem nenhum suporte real que explique como isso está funcionando. Esta é uma configuração desconhecida para nós, mas eles nos garantem que é padrão para eles.

Compramos uma variedade de endereços IP públicos para nosso lançamento. Eles nos forneceram esta informação:

  • Link de fibra

    • Bloco: 152.160.28.76/30
    • Sub-rede: 255.255.255.252
    • Portal: 152.160.28.77
    • Utilizável: 152.160.28.78
    • DNS1: 216.234.97.2
    • DNS2: 216.234.97.3

  • LAN(intervalo de endereços IP públicos que compramos)

    • LAN: 209.124.48.80/28
    • GW: 209.124.48.81
    • UTILIZÁVEL: 209.124.48.82 - 0,95
    • SUB-REDE: 255.255.255.240
    • DNS1: 216.234.97.2
    • DNS2: 216.234.97.3

Nosso firewall (SonicWall TZ 470) está conectado à fibra para sua WAN padrão. Fui instruído a configurar a interface WAN da seguinte forma:

  • Interface WAN (X8)
    • Zona: WAN
    • Endereço IP: 152.160.28.78
    • Sub-rede: 255.255.255.252
    • Gateway padrão: 152.160.28.77
    • Servidor DNS 1: 216.234.97.2
    • Servidor DNS 2: 216.234.97.3

No entanto, fomos informados de que o tráfego público não deveria ser direcionado para 152.160.28.78. Ainda devemos usar o intervalo de endereços IP públicos que recebemos. O que... funciona mais ou menos? Não tenho ideia de como e adoraria saber o que está acontecendo, porque agora que preciso usar mais de um desses endereços IP públicos, não sei o que fazer.

Portanto, temos nossa LAN X0 atual, que está conectada diretamente a um host de VM com três VMs, e uma regra NAT que parece obter um destes endereços IP públicos:

  • Interface LAN X0
    • Endereço IP: 10.20.0.1
    • Máscara de sub-rede: 255.255.0.0
    • Gateway padrão: (0.0.0.0)
  • Servidor host da VM
    • Endereço IP: 10.20.0.100
    • Sub-rede: 255.255.0.0
    • Portal: 10.20.0.1
  • Servidor1
    • Endereço IP: 10.20.0.101
    • Sub-rede: 255.255.0.0
    • Portal: 10.20.0.1
  • Servidor-2
    • Endereço IP: 10.20.0.102
    • Sub-rede: 255.255.0.0
    • Portal: 10.20.0.1
  • Servidor-3 (proxy reverso)
    • Endereço IP: 10.20.0.103
    • Sub-rede: 255.255.0.0
    • Portal: 10.20.0.1
  • Regras NAT
    • Destino 209.124.48.83 -> Destino 10.20.0.101
    • Fonte 10.20.0.101 -> Fonte 209.124.48.83

Servidor-2 e Servidor-3 são novas adições. As regras NAT funcionaram bem para rotear esse endereço IP público para o Servidor-1.

Tentei adicionar regras NAT para 209.124.48.84 <-> 10.20.0.103. Isso não pareceu funcionar. Nem sei por que/como seria. Às vezes, o tráfego DNS era roteado para 209.124.48.84 e enviado para o Servidor-1 em 10.20.0.101 de alguma forma. E sim, tudo fica nublado neste ponto. Eu não esperaria que dois endereços IP públicos diferentes viajassem efetivamente de uma interface para uma NIC de um host VM.

Então, de qualquer forma,o que estou procurando realizar:

Dividimos um site do Servidor-1 (servidor IIS) para o Servidor-2 (Ubuntu/Apache). No Servidor-1, o site é executado em um subdiretório do domínio host principal (www.website.com/app). Gostaríamos de preservar isso usando um servidor proxy reverso para direcionar o local /app para o Servidor-2 e todo o resto para o Servidor-1.

O Server-1 também hospeda vários domínios de host diferentes. Prefiro não usar o proxy reverso para cada um desses sites. Eu só quero enviarwww.website.comDNS para o proxy reverso e tudo mais (ex:www.outrowebsite.com) ainda pode ir diretamente para o Servidor-1.

Infelizmente, não consegui rotear efetivamente nenhum tráfego público para o proxy reverso, o que imagino que envolveria o uso de outro desses endereços IP públicos.

Então minhas perguntas são:

  • Qual é essa configuração que recebi do data center? Existe algum conceito aqui que eu nunca ouvi falar? Gostaria de entender como isso funciona e como posso utilizar esses endereços IP de maneira eficaz.
  • É possível com esta configuração realizar o que foi dito acima? Eu precisaria de mais hardware? Mais conexões? O host da VM possui 4 NICs. Eu estava pensando em conectar o X1 do firewall ao NIC2 do servidor VM Host, e talvez eu pudesse fazer o roteamento funcionar melhor se eu NAT outro endereço IP público para uma sub-rede/interface diferente? É difícil dizer porque realmente não tenho ideia de como o endereço IP público atual está funcionando.

E peço desculpas se coisas como essa foram perguntadas/explicadas antes. Infelizmente, não tenho certeza do que está em jogo aqui para pesquisá-lo de maneira eficaz.

Responder1

Esta configuração significa que na interface voltada para você eles têm seu intervalo primário (152.160.28.76/30) e um secundário (209.124.48.80/28).

Embora isso geralmente signifique que você deve rotear o tráfego para um gateway apropriado por meio de roteamento de política, na maioria dos casos não é necessário, pois 152.160.28.77 e 209.124.48.81 é provavelmente o mesmo roteador e o tráfego que viaja upstream não tem indicação do IP do gateway em qualquer caso. (ele usa ARP para chegar aonde precisa).

Não tenho certeza sobre os recursos do SonicWall, mas em um roteador normal você configura um endereço secundário na porta uplink do intervalo 209.124.48.80/28 e depois faz o NAT conforme necessário.

informação relacionada