這個資料中心設置如何運作?公共網關IP可以路由到公共位址的唯一子網路嗎?

tag-icon tag-icon networking firewall routing nat sonicwall
這個資料中心設置如何運作?公共網關IP可以路由到公共位址的唯一子網路嗎?

我們還無法弄清楚這一點,而且該資料中心沒有真正的支援來解釋其工作原理。這對我們來說是一個陌生的設置,但他們向我們保證這是他們的標準。

我們為我們的投放購買了一系列公共 IP 位址。他們向我們提供了以下資訊:

  • 光纖鏈路

    • 塊:152.160.28.76/30
    • 子網路:255.255.255.252
    • 網關:152.160.28.77
    • 可用:152.160.28.78
    • DNS1:216.234.97.2
    • DNS2:216.234.97.3

  • 區域網路(我們購買的公共IP位址範圍)

    • 區域網路:209.124.48.80/28
    • GW:209.124.48.81
    • 可用:209.124.48.82 - .95
    • 子網路:255.255.255.240
    • DNS1:216.234.97.2
    • DNS2:216.234.97.3

我們的防火牆 (SonicWall TZ 470) 已插入其預設 WAN 的光纖存取點。我被指示如下設定 WAN 介面:

  • 廣域網路介面(X8)
    • 區域:廣域網
    • IP位址:152.160.28.78
    • 子網路:255.255.255.252
    • 預設閘道:152.160.28.77
    • DNS伺服器1:216.234.97.2
    • DNS伺服器2:216.234.97.3

但是,我們被告知公共流量實際上不應路由至 152.160.28.78。我們仍然應該使用我們獲得的公共 IP 位址範圍。哪個...有效?我不知道如何操作,也很想知道發生了什麼,因為現在我需要使用多個公共 IP 位址,我不知道該怎麼做。

因此,我們擁有目前的 X0 LAN,它直接連接到具有三個虛擬機器的虛擬機器主機,以及一個似乎獲取以下公共 IP 位址之一的 NAT 規則:

  • 區域網路介面X0
    • IP位址:10.20.0.1
    • 子網路遮罩:255.255.0.0
    • 預設閘道:(0.0.0.0)
  • 虛擬機器主機伺服器
    • IP位址:10.20.0.100
    • 子網路:255.255.0.0
    • 網關:10.20.0.1
  • 伺服器1
    • IP位址:10.20.0.101
    • 子網路:255.255.0.0
    • 網關:10.20.0.1
  • 伺服器2
    • IP位址:10.20.0.102
    • 子網路:255.255.0.0
    • 網關:10.20.0.1
  • Server-3(反向代理)
    • IP位址:10.20.0.103
    • 子網路:255.255.0.0
    • 網關:10.20.0.1
  • NAT規則
    • 目的地 209.124.48.83 -> 目的地 10.20.0.101
    • 來源 10.20.0.101 -> 資料來源 209.124.48.83

Server-2 和 Server-3 是新建的。 NAT 規則可以很好地將該公用 IP 位址路由到 Server-1。

我嘗試新增 209.124.48.84 <-> 10.20.0.103 的 NAT 規則。這似乎不起作用。我也不知道為什麼/怎麼會這樣。有時,它會將 DNS 流量路由到 209.124.48.84,並以某種方式將其傳送到位於 10.20.0.101 的 Server-1。是的,此時一切都變得陰雲密布。我不希望兩個不同的公用 IP 位址有效地從一個介面傳輸到 VM 主機的一個 NIC。

所以無論如何,我想要實現的目標:

我們將網站從 Server-1(IIS 伺服器)拆分到 Server-2(Ubuntu/Apache)。在 Server-1 上,網站在主主機網域的子目錄中運作(www.website.com/app)。我們希望透過使用反向代理伺服器將 /app 位置定向到 Server-2,並將其他所有內容定向到 Server-1 來保留這一點。

Server-1 也託管多個不同的主機網域。我不想對這些站點中的每一個站點都使用反向代理。我只想發送www.website.comDNS 到反向代理以及其他所有內容(例如:www.otherwebsite.com)仍然可以直接存取Server-1。

不幸的是,我無法將任何公共流量有效地路由到反向代理,我認為這需要使用其中另一個公共 IP 位址。

所以我的問題是:

  • 資料中心給我的設定是什麼?這裡有一些我從未聽過的概念嗎?我想了解這是如何工作的以及如何有效地利用這些 IP 位址。
  • 透過這個設定可以完成上述任務嗎?我需要更多硬體嗎?更多連接? VM 主機有 4 個 NIC。我正在考慮將防火牆的 X1 插入 VM Host 伺服器的 NIC2,如果我將另一個公共 IP 位址 NAT 到不同的子網路/接口,也許我可以讓路由更好地工作?這很難說,因為我真的不知道目前的公用 IP 位址是如何運作的。

並且,如果以前曾詢問/解釋過此類問題,我們深表歉意。不幸的是,我不確定這裡到底是什麼在起作用,甚至無法有效地搜尋它。

答案1

此設定意味著在面向您的介面上,它們具有您的主要範圍 (152.160.28.76/30) 和次要範圍 (209.124.48.80/28)。

雖然這通常意味著您應該透過策略路由將流量路由到適當的網關,但在大多數情況下不需要這樣做,因為152.160.28.77 和209.124.48.81 可能是同一台路由器,並且上游傳輸的流量在任何情況下方都沒有網關IP 的指示(它使用 ARP 來到達它需要去的地方)。

我不確定 SonicWall 的功能,但在普通路由器上,您可以在 209.124.48.80/28 範圍內的上行鏈路連接埠上設定輔助位址,然後根據需要執行 NAT。

相關內容