Ваш вопрос кажется невероятным, и мне жаль, что он не получил достаточно внимания раньше. К сожалению, в нем отсутствуют некоторые детали, которые могли бы облегчить ответ. Тем не менее, я стараюсь немного ответить на него.
Во-первых, я получу этот информационный запрос.
Вы упоминаете VPN-соединения вашего "клиента". Там клиент обращается к клиенту. Затем вы говорите «клиентские VPN-подключения», но мне интересно, если в этот момент вы имеете в виду не клиента, а рабочую станцию конечного пользователя в модели клиент-сервер.
Было бы полезно, если бы в вашем вопросе было больше деталей о том, как выглядит ваша текущая карта подсети (конечно, с надлежащей фиксацией конфиденциальной информации).
Например, мы говорим о 3 сайтах, или 13, или 73? Кому принадлежат сайты? Кажется, что вы в роли поддержки сети вашего клиента, но затем клиент наложил на вас технические правила сетевого взаимодействия. Итак, кто контролирует? (В нескольких небольших компаниях MSP, где я работал, компания, поставляющая техников, практически полностью контролировала все детали и, конечно, полностью контролировала более конкретные детали, например, как были реализованы VPN).
Без этих подробностей совершенно хороший ответ для одной среды может быть очень неподходящим для другой среды.
Но теперь, вместо того, чтобы навязывать вопросы, позвольте мне попытаться ответить на это с некоторыми предложениями.
Одним из ключей к облегчению работы таких сценариев является наличие чистого и хорошо работающего сетевого дизайна. Если текущая компоновка различных подсетей не работает, возможно, потребуется изменить дизайн. К сожалению, "перенумерация" печально известна своей дорогой и сложной задачей. (Несмотря на то, что действие, казалось бы, будет бесплатным, для разработки схемы требуется время и может потребоваться больше времени для ее реализации.)
Часто бывает полезно подумать: «Что работает для людей, которые могут быть в похожих ситуациях?«Я не имею в виду ситуацию с большим количеством VPN. Я имею в виду, в более широком смысле, ситуацию, например, наличие нескольких компьютеров на разных сайтах.
Обычно цель состоит в том, чтобы ваша собственная внутренняя сеть работала хорошо. Что касается подключения к удаленным сетям, принадлежащим другим компаниям, существует некоторый риск наложения IP-подсетей. Если люди делают довольно приличную работу, пытаясь несколько рандомизировать третий октет IPv4, который может уменьшить шансы перекрытия, но с достаточным количеством сетей, это, безусловно, может произойти (особенно с 192.168.low-number или 192.168.168, которые популярный).
Типичное решение для работы с несколькими клиентами состоит в том, что нет необходимости подключаться к ним обоим одновременно.
В конечном счете, иногда возникают конфликты, и это приводит к боли.
Конечно, перенумерация подсетей не является подходящей альтернативой. Часто более разумно реализовать NAT.
Редактировать 1: Прежде чем перейти к NAT, позвольте мне рассмотреть другой возможный подход. Если вы используете IPv4 и можете использовать IPv6, но еще не сделали этого, то использование этой технологии может принести другой набор цифр, в то же время чувствуя себя довольно продуктивно, поскольку ваше решение дает больше преимуществ, чем просто перемещение подсети IPv4, чтобы избежать конфликт.
В качестве краткого обзора различных методов того, как вы можете реализовать NAT, один метод использует PNAT, трансляцию сетевых адресов на основе портов, иногда называемую PAT или NAT, которая часто реализуется с помощью "перегруженного" только одного IP-адреса, используемого для несколько типов соединений, просто используя разные номера портов. Тем не менее, вы также можете иметь «1-к-1 NAT», где блок X-адресов в одном месте соответствует блоку X-адресов в другом месте. (Это может быть подход, который проще всего использовать и поддерживать, если вы можете просто определить доступные блоки сетевых адресов, чтобы осуществить это.) Использование NAT в стиле "1 к 1" может быть проще в настройке, чем возможность решения "Динамический NAT", где адресные блоки могут быть неравного размера, возможно, действуя аналогично PNAT, но используя несколько адресов в подсети, а не чем несколько портов с IP-адресом. Если вы сопоставляете несколько портов с помощью PNAT, то вы также можете сопоставить несколько адресов, но эта гибкость часто является ненужным уровнем дополнительной сложности.
Реализация такого NAT часто занимает немного времени на размышления о том, какие адреса следует использовать, и может потребовать более значительного времени и навыков для внедрения правил на устройствах инфраструктуры (маршрутизаторы / брандмауэры / и т.д.) Это может быть больно. Тем не менее, после настройки на устройствах инфраструктуры, опыт может быть безболезненным для рабочих станций конечного пользователя.
Это может звучать немного больно. Как я уже говорил, «в конечном счете, иногда возникают конфликты, и это приводит к боли». Я видел официальные учебные материалы Cisco, предназначенные для колледжей, обучающих сетевых специалистов, которые признают это. Так что, если крупнейшие в мире организации не могут полностью избежать боли, вы тоже не сможете.
Для получения более подробной информации о техническом дизайне, я хотел бы знать, лучше ли вам задавать вопросы по NetworkEngineering.StackExchange.com
Если вы чувствуете, что сталкиваетесь с тем, что требования вашего клиента плохо сочетаются с тем, чего вы пытаетесь достичь, эффективный способ получить больше советов по этому вопросу - подумать о вашем клиенте как о работодателе и задать вопрос о как справиться с таким конфликтом на рабочем месте.StackExchange.com
