Разбиение и подключение небольшой подсети

Question

Прошло много времени с тех пор, как я построил сеть, так что терпите меня, поскольку я потерял часть номенклатуры.

Принимая во внимание "5" используемых статических IP-адресов от нашего провайдера, можно ли использовать 3 из них для глобально доступных "серверов", а затем использовать оставшиеся 2 адреса для создания двух дополнительных и независимых локальных сетей?

LAN_A потребуется доступ к серверам и, возможно, он появится в той же «подсети», что и серверы, так как пользователи этой подсети полагаются на некоторые серверы для обмена файлами и т.д.

LAN_B будет полностью независимым и не будет иметь больше доступа к указанным серверам, чем, скажем, кто-либо еще в глобальной сети Интернет.

Возможный? Если так, как? Я знаю, что мог бы разделить 6 ("5" для использования) на две отдельные 3 (2 для использования), но это не будет соответствовать нашим требованиям, так как нам нужно минимум 3 для серверов одного объекта.

Другой вариант - получить "13" используемых статических адресов от нашего интернет-провайдера.

Суть в том, что у нас есть две разные сущности, разделяющие одно и то же физическое пространство и провайдера. У одного есть серверы, к которым ему нужен доступ (и указанные серверы нуждаются в глобально доступных статических IP-адресах), а другому объекту просто необходим базовый доступ в Интернет для примерно 10 пользователей.

Надеюсь, это имеет смысл. Пожалуйста, дайте мне знать, если я могу предоставить больше информации, чтобы прояснить ситуацию.

Редактировать:

подтвердил: у нас есть подсеть /29 (5 статических IP-адресов)

Кроме того, добавлена схема, как я думаю, что это может выглядеть, когда закончите:

То, что мне трудно определить, это «переключатель» на диаграмме ниже. Это один интеллектуальный коммутатор (с поддержкой VLAN)? Или это 2 переключателя? Или возможно роутер + свитч?

Любая помощь с благодарностью!

Edit2:

обновил схему сети, установив маршрутизатор между коммутатором и локальной сетью A. Имеет ли это смысл?

Answer 1

Два общедоступных IP-адреса, для которых вы хотите "создать локальные сети", должны быть частью шлюза NAT/PAT с назначенной частной подсетью "позади". Это единственная функция с одним IP-адресом в качестве шлюза для множества хостов.

Предполагая две подсети:

• Серверы LAN A +
• LAN B

Существует множество способов его настройки, и они сильно зависят от того, какое оборудование у вас есть и на что оно способно.

Как правило, хотя ваш интернет-шлюз (который может быть одним устройством или несколькими) должен

• выступать в роли шлюза NAT для трафика, поступающего в IP, который предназначен для локальной сети A
• выступать в роли шлюза NAT для трафика, поступающего в IP, который предназначен для локальной сети B
• переадресовывать трафик с каждого оставшегося публичного IP на соответствующий сервер

Вы также хотите убедиться, что LAN A и LAN B находятся на отдельных коммутаторах или VLAN, и это должно служить для их полной изоляции друг от друга.

Любой компьютер в подсети А сможет получить доступ к серверам и наоборот, находясь в одной подсети.

Любой компьютер в подсети B должен пройти через шлюз по умолчанию (ваш интернет-маршрутизатор), чтобы достичь чего-либо в подсети A.

Маршрутизатор должен быть достаточно интеллектуальным, чтобы поддерживать отсутствие необходимости размещать все узлы за NAT - ваши серверы не должны участвовать в NAT. Я верю, что большинство оборудования коммерческого класса способны на это.

Дальнейшие детали требуют глубоких знаний вашей установки и оборудования. Если вы не знаете, что получить, вам следует проконсультироваться с сетевым профессионалом.

ОБНОВЛЕНИЕ (после вашей диаграммы):

Во-первых, маршрутизатор «в» локальной сети A не нужен, если вы в порядке, когда любой компьютер в локальной сети A может общаться с любым сервером в локальной сети A. Во-вторых, если ваш кабельный модем не имеет возможности маршрутизации (большинство не имеет), вам нужен маршрутизатор сразу после кабельного модема.

Стандартные неуправляемые коммутаторы просто позволяют любому подключенному хосту общаться с любым другим хостом. Управляемые коммутаторы имеют VLAN, которые позволяют группировать порты в изолированную «VLAN», которая функционирует как отдельный «суб-коммутатор».

Как указано выше, коммутатор должен поддерживать VLAN, если вы не хотите, чтобы LAN A взаимодействовала с LAN B через этот коммутатор.

Тем не менее, ваш маршрутизатор также должен поддерживать и знать, что происходит. У вас есть центральная проблема, когда трафик, предназначенный для двух отдельных подсетей, поступает через один шлюз, ваш кабельный модем.

Концептуально вашему маршрутизатору нужна возможность помечать трафик, поступающий на определенные IP-адреса с одной VLAN, и помечать трафик, поступающий на другие конкретные IP-адреса, с другой VLAN. У меня нет большого опыта работы с этим типом оборудования, поэтому я не могу указать вам имя конкретного устройства.

Answer 2

Если это реальная базовая станция аэропорта, то это маршрутизатор: хосты позади нее будут изолированы и будут принадлежать другой сети RFC1918, и широковещательный трафик, сделанный клиентами WiFi, распространяться не будет. Затем, в зависимости от того, как MSO собирается направить вам /29:

A) возможно, вы можете исключить коммутатор, так как вам понадобится маршрутизатор для приема трафика и в качестве шлюза для /29, который вы настроите на своем интерфейсе локальной сети (а MSO должен иметь статический маршрут для отправки /29 к интерфейсу WAN вашего маршрутизатора, который не обязательно должен быть частью /29)

B) MSO будет иметь шлюз для вашего /29, настроенный либо на вашем кабельном модеме, либо на кабельном маршрутизаторе, и поэтому все устройства в /29 должны быть подключены к кабельному модему без промежуточного маршрутизатора.

Однако в любом случае вы, вероятно, платите дополнительную плату за эту услугу, которая должна включать время, затрачиваемое сетевым администратором или инженером на настройку этого параметра /29 и на постоянную поддержку вашей сети. Поэтому было бы неэффективно консультироваться с нами вместо них: мы просто догадываемся. Они должны знать, чтобы обеспечить связь с вами.