Частное соединение между Windows Server

Question 1

На обоих серверах:

Отредактируйте файлы hosts так, чтобы имена серверов были преобразованы в «частные» IP-адреса.
Включите брандмауэр и создайте 2 правила (входящее и исходящее):
- правило, которое запрещает любой трафик, исходящий с «публичного» IP-адреса сервера A и направленный на «публичный» IP-адрес сервера B;
- правило, которое запрещает любой трафик, исходящий с «публичного» IP-адреса сервера B и направленный на «публичный» IP-адрес сервера A.
Если останутся какие-либо сетевые службы, использующие «публичные» IP-адреса, они перестанут работать, пока вы не настроите их на использование «частных» IP-адресов.

Answer

На обоих серверах:

Отредактируйте файлы hosts так, чтобы имена серверов были преобразованы в «частные» IP-адреса.
Включите брандмауэр и создайте 2 правила (входящее и исходящее):
- правило, которое запрещает любой трафик, исходящий с «публичного» IP-адреса сервера A и направленный на «публичный» IP-адрес сервера B;
- правило, которое запрещает любой трафик, исходящий с «публичного» IP-адреса сервера B и направленный на «публичный» IP-адрес сервера A.
Если останутся какие-либо сетевые службы, использующие «публичные» IP-адреса, они перестанут работать, пока вы не настроите их на использование «частных» IP-адресов.

Question 2

Хотя предыдущий ответ может работать, его нельзя считать наилучшей практикой, поскольку он препятствует прохождению трафика через публичные интерфейсы в случае, если это желательно/требуется.

Недавно я завершил создание небольшого кластера виртуализации из 3 узлов, использующего интерфейсы 1 Гбит/с для кластерного/публичного трафика и интерфейсы 10 Гбит/с исключительно для трафика iSCSI SAN.

Чтобы позволить трем узлам продолжать взаимодействовать друг с другом через общедоступную сеть и изолировать трафик iSCSI в сети 10G (например, 10.20.20.0/24), к каждому узлу были добавлены статические маршруты, указывающие, что трафик iSCSI проходит только через интерфейсы 10G, оставляя интерфейсы 1G для всего остального трафика.

Ниже приведен пример синтаксиса PowerShell, используемого для добавления статических маршрутов для сети 10G (с двойным интерфейсом).

New-NetRoute –DestinationPrefix "10.20.20.20/24" –InterfaceIndex 1 –NextHop 10.20.20.201 -RouteMetric 1
New-NetRoute –DestinationPrefix "10.20.20.20/24" –InterfaceIndex 2 –NextHop 10.20.20.201 -RouteMetric 1

По следующей ссылке описывается команда PowerShell New-Route:

https://technet.microsoft.com/en-us/library/hh826148.aspx

Answer

Хотя предыдущий ответ может работать, его нельзя считать наилучшей практикой, поскольку он препятствует прохождению трафика через публичные интерфейсы в случае, если это желательно/требуется.

Недавно я завершил создание небольшого кластера виртуализации из 3 узлов, использующего интерфейсы 1 Гбит/с для кластерного/публичного трафика и интерфейсы 10 Гбит/с исключительно для трафика iSCSI SAN.

Чтобы позволить трем узлам продолжать взаимодействовать друг с другом через общедоступную сеть и изолировать трафик iSCSI в сети 10G (например, 10.20.20.0/24), к каждому узлу были добавлены статические маршруты, указывающие, что трафик iSCSI проходит только через интерфейсы 10G, оставляя интерфейсы 1G для всего остального трафика.

Ниже приведен пример синтаксиса PowerShell, используемого для добавления статических маршрутов для сети 10G (с двойным интерфейсом).

New-NetRoute –DestinationPrefix "10.20.20.20/24" –InterfaceIndex 1 –NextHop 10.20.20.201 -RouteMetric 1
New-NetRoute –DestinationPrefix "10.20.20.20/24" –InterfaceIndex 2 –NextHop 10.20.20.201 -RouteMetric 1

По следующей ссылке описывается команда PowerShell New-Route:

https://technet.microsoft.com/en-us/library/hh826148.aspx

Частное соединение между Windows Server

решение1

решение2

Связанный контент