Как работает эта настройка центра обработки данных? Публичный шлюз IP может маршрутизировать в уникальную подсеть публичных адресов?

tag-icon tag-icon networking firewall routing nat sonicwall
Как работает эта настройка центра обработки данных? Публичный шлюз IP может маршрутизировать в уникальную подсеть публичных адресов?

мы не смогли понять это вообще, и этот центр обработки данных не имеет реальной поддержки, которая бы объяснила, как это работает. Это незнакомая нам установка, но они уверяют нас, что это стандарт для них.

Мы приобрели ряд публичных IP-адресов для нашего дропа. Они предоставили нам следующую информацию:

  • Волоконно-оптическая связь

    • Блок: 152.160.28.76/30
    • Подсеть: 255.255.255.252
    • Шлюз: 152.160.28.77
    • Используемый: 152.160.28.78
    • DNS1: 216.234.97.2
    • DNS2: 216.234.97.3

  • Локальная сеть(диапазон публичных IP-адресов, который мы приобрели)

    • Локальная сеть: 209.124.48.80/28
    • ГВ: 209.124.48.81
    • ПРИГОДНО ДЛЯ ИСПОЛЬЗОВАНИЯ: 209.124.48.82 - .95
    • ПОДСЕТЬ: 255.255.255.240
    • DNS1: 216.234.97.2
    • DNS2: 216.234.97.3

Наш брандмауэр (SonicWall TZ 470) подключен к оптоволоконному отводу для его WAN по умолчанию. Мне было поручено настроить интерфейс WAN следующим образом:

  • Интерфейс WAN (X8)
    • Зона: WAN
    • IP-адрес: 152.160.28.78
    • Подсеть: 255.255.255.252
    • Шлюз по умолчанию: 152.160.28.77
    • DNS-сервер 1: 216.234.97.2
    • DNS-сервер 2: 216.234.97.3

Однако нам сказали, что публичный трафик на самом деле не должен направляться на 152.160.28.78. Мы все равно должны использовать диапазон публичных IP-адресов, который нам дали. Который... работает как-то? Я понятия не имею, как это работает, и хотел бы узнать, что происходит, потому что теперь, когда мне нужно использовать более одного из этих публичных IP-адресов, я не уверен, что делать.

Итак, у нас есть текущая локальная сеть X0, которая напрямую подключена к хосту виртуальной машины с тремя виртуальными машинами, и правило NAT, которое, похоже, назначает ей один из этих публичных IP-адресов:

  • Интерфейс локальной сети X0
    • IP-адрес: 10.20.0.1
    • Маска подсети: 255.255.0.0
    • Шлюз по умолчанию: (0.0.0.0)
  • Хост-сервер виртуальной машины
    • IP-адрес: 10.20.0.100
    • Подсеть: 255.255.0.0
    • Шлюз: 10.20.0.1
  • Сервер-1
    • IP-адрес: 10.20.0.101
    • Подсеть: 255.255.0.0
    • Шлюз: 10.20.0.1
  • Сервер-2
    • IP-адрес: 10.20.0.102
    • Подсеть: 255.255.0.0
    • Шлюз: 10.20.0.1
  • Сервер-3 (Обратный прокси)
    • IP-адрес: 10.20.0.103
    • Подсеть: 255.255.0.0
    • Шлюз: 10.20.0.1
  • правила NAT
    • Место назначения 209.124.48.83 -> Место назначения 10.20.0.101
    • Источник 10.20.0.101 -> Источник 209.124.48.83

Server-2 и Server-3 — новые дополнения. Правила NAT отлично сработали, чтобы направить этот публичный IP-адрес на Server-1.

Я попробовал добавить правила NAT для 209.124.48.84 <-> 10.20.0.103. Это, похоже, не сработало. И я не знаю, почему/как это сработает. Иногда он брал DNS-трафик, направленный на 209.124.48.84, и каким-то образом отправлял его на Server-1 по адресу 10.20.0.101. И да, в этот момент все становится мутным. Я бы не ожидал, что два разных публичных IP-адреса будут эффективно перемещаться с одного интерфейса на один NIC хоста виртуальной машины.

Так или иначе,чего я хочу добиться:

Мы разделили веб-сайт с Server-1 (сервер IIS) на Server-2 (Ubuntu/Apache). На Server-1 веб-сайт работает в подкаталоге основного домена хоста (www.website.com/app). Мы хотели бы сохранить это, используя обратный прокси-сервер, чтобы направить местоположение /app на Сервер-2, а все остальное — на Сервер-1.

Server-1 также размещает несколько различных доменов хоста. Я бы предпочел не использовать обратный прокси для каждого из этих сайтов. Я просто хочу отправитьwww.website.comDNS для обратного прокси-сервера и всего остального (например:www.otherwebsite.com) по-прежнему может напрямую перейти на Сервер-1.

К сожалению, мне не удалось эффективно направить публичный трафик на обратный прокси-сервер, для чего, как я полагаю, потребовалось бы использование еще одного из этих публичных IP-адресов.

Итак, мои вопросы:

  • Что это за настройка, которую мне предоставил центр обработки данных? Есть ли здесь какая-то концепция, о которой я никогда не слышал? Я хотел бы понять, как это работает и как я могу эффективно использовать эти IP-адреса.
  • Возможно ли с этой настройкой выполнить вышеизложенное? Мне понадобится больше оборудования? Больше подключений? У хоста виртуальной машины 4 сетевых карты. Я думал подключить X1 брандмауэра к сетевой карте NIC2 сервера хоста виртуальной машины, и, возможно, я смогу улучшить работу маршрутизации, если я транслирую другой публичный IP-адрес в другую подсеть/интерфейс? Трудно сказать, потому что я действительно понятия не имею, как вообще работает текущий публичный IP-адрес.

И, извините, если что-то подобное уже спрашивалось/объяснялось. К сожалению, я не уверен, что тут вообще происходит, чтобы даже эффективно искать.

решение1

Такая настройка означает, что на интерфейсе, обращенном к вам, есть ваш основной диапазон (152.160.28.76/30) и дополнительный (209.124.48.80/28).

Хотя это обычно означает, что вы должны направлять трафик на соответствующий шлюз с помощью политики маршрутизации, в большинстве случаев это не нужно, поскольку 152.160.28.77 и 209.124.48.81, скорее всего, являются одним и тем же маршрутизатором, а трафик, проходящий вверх по течению, в любом случае не имеет указания на IP-адрес шлюза (он использует ARP, чтобы попасть туда, куда ему нужно).

Я не уверен в возможностях SonicWall, но на обычном маршрутизаторе вы настраиваете вторичный адрес на порту восходящей линии связи из диапазона 209.124.48.80/28, а затем при необходимости выполняете NAT.

Связанный контент