Моя текущая настройка:
Кабельный модем выдает 13 статических IP-адресов (/28), коммутатор GB подключен к кабельному модему и имеет доступ к этим 13 статическим IP-адресам, у меня сейчас используется около 6 "серверов".
Кабельный модем также является брандмауэром, DHCP-сервером и 3-портовым коммутатором 10/100. Я использую его как брандмауэр, но не в настоящее время как сервер DHCP.
Я подключил к кабельному модему два сетевых кабеля, один из которых идет к порту WAN двухдиапазонного беспроводного маршрутизатора / коммутатора Linksys Wireless 10/100/1000. В Linksys есть несколько рабочих станций, несколько принтеров и некоторые ноутбуки, подключенные к Wi-Fi. Я установил в Linksys использование статического IP-адреса и включил DHCP для рабочих станций, принтеров и т.д. В 192.168.1.1/24. Сеть для Linksys в основном автономна, резервные копии отправляются в SAN, в этой сети все это происходит через этот коммутатор, через ГБ. Но я также получаю от него доступ в интернет через кабельный модем, используя один статический IP.
Это все работает, однако я не могу "видеть" статические IP-машины, когда я нахожусь на Linksys. Я могу получить к ним доступ через ssh и другие протоколы, и если я захочу "снаружи", я открываю дыры, как 80, 25, 587, 143, 22 и т.д.
Второй провод, от кабельного модема /fireall / коммутатора, просто соединяется с управляемым коммутатором GB.
Каковы плюсы и минусы этого? Я не люблю отказываться от статического IP-адреса для Linksys. У меня в основном смешанная сеть публичных серверов и внутренних рабочих станций. Мне нужны общедоступные серверы с публичными IP-адресами, потому что я не хочу связываться с переадресацией портов и сопоставлениями.
Также правильно, что, если кто-то нарушит Wi-Fi Linksys, ему все равно будет трудно добраться до статического диапазона IP-адресов, просто в силу топологии сети?
Сегодня, просто для проверки, я включил DHCP в брандмауэре / кабельном модеме в диапазоне 10.1.10.1/24, а Linksys - в диапазоне 192.168.1.100/24. На тот момент все статические IP-машины все еще имели входящий и исходящий доступ, но Linksys был недоступен.
Кабельный модем имеет только 10/100 портов, поэтому я не буду подключать к нему ничего, кроме подключения к сети, которое составляет 50 МБ /10 МБ. Это заставляет меня думать, что это может быть не совсем идеальным вариантом, так как при доступе 1000 МБ передача данных из сети рабочей станции в сеть сервера будет узким местом на скорости 100 МБ. Возможно, мне не нужно решать это, если изоляция лучше. Я не перемещаю большой объем данных, если таковые имеются, из сети Linsys в сеть сервера, поэтому для него можно претендовать на то, что он удаленный.
Должен ли я подойти к этому как-то иначе?
Я мог бы включить DHCP на кабельном модеме / брандмауэре, он все равно должен отправлять статические данные на коммутатор GB, но будет ли также DHCP в диапазоне 10.1.10.1/24? Затем я могу подключить Linksys к коммутатору GB, который теперь выбирает статику и диапазоны 10.1.10.1/24, и сказать Linksys использовать 10.1.10.5 или около того.
Теперь я должен отключить DHCP на Linksys, и кабельный модем / брандмауэр также пройдет через статические диапазоны и диапазоны 10.0.10.1/24? Или я могу открыть второй пул DHCP на Linksys? Я полагаю, что это снова дает мне изоляцию сети, но это прямо противоположно тому, что я имею сейчас. Но я выхожу из узкого места, не то, чтобы Linksys мог когда-либо действительно ощутить реальные скорости ГБ, но управляемый коммутатор, безусловно, может.
Это все потому, что 13 статик не так много. Прямо сейчас, 6 "серверов", Linksys, управляемый коммутатор, несколько сертификатов SSL, и у меня заканчивается. Я не хочу тратить статический IP-адрес на управляемом коммутаторе GB или Linksys, если только он не дает мне какую-то выгоду.
Последний вопрос, при моей текущей настройке, если я нахожусь на рабочей станции, сидящей по адресу 192.168.1.109, Linksys, с ГБ, и я отправляю файл через ssh на статический IP-компьютер, это то, что буквально покидает Интернет и возвращается в, или он остается локальным? Мне кажется, что:
Workstation (192.168.1.109) -> Linksys DHCP -> Linksys Static IP -> Cable Modem -> Server ( and it hits the 10/100 ports on the cable modem, slowing me down. But does it round trip the network, leave and come back in, limiting me to the 50/10 internet speeds?
* Все это вымышленные номера, я не использую IP-адреса маршрутизатора по умолчанию, так как однажды добавлю VPN и не хочу коллизий.
Мне нужны некоторые рекомендации, хочу ли я одну большую сеть или две изолированные. Принтеры в наши дни нуждаются в IP, все делает, я не могу заставить autoconf/bonjour быть надежным на большинстве принтеров. но я также не уверен, что хочу, чтобы сторона сервера моей работы была загрязнена стороной моей работы.
Если только у меня нет магических побуждений, я еще не научился, вот что я думаю:
Cable modem 10/100, has 13 static IP, publicly accessible ->
Enable DHCP on the cable modem ->
Cable modem plugs into managed switch ->
Managed switch gets 10.1.10.1 ssh, telnet, https admin management address ->
Managed switch sends static IP's to to servers ->
Plug Linksys into managed switch, giving it 10.1.10.2 static internally in Linksys admin ->
Linksys gets assigned 10.1.10.x as its DHCP sending range ->
Local printers, workstations, iPhones etc, connect to this ->
( Do I enable DHCP or disable it on the Linksys, just define a non over lapping range, or create an entirely new DHCP at 10.1.50.0/24, I think I am back isolated again with that method too? )
Спасибо за любые предложения. Это первый раз, когда мне приходилось иметь дело с менее чем /24, и большинство из них больше, но это всего лишь капля в кабинет. В противном случае, это маршрутизатор, несколько ретрансляторов и другие простые вещи с одним IP. Я знаю, что некоторые могут предложить использовать все DHCP на серверах, и я могу однажды, но не сейчас, было слишком много движения, чтобы заинтересоваться этим, и я хотел бы, чтобы что-то из серии Catalyst имело дело с этим.