6

Я занимаюсь веб-разработкой из небольшого офиса, и мне нужно иметь несколько физических и виртуальных серверов, к которым можно получить доступ из Интернета. У меня также есть несколько устройств (компьютеры, ноутбуки, планшеты, принтеры и т.д.), Которые также требуют подключения. Я получил подсеть из 8 IP-адресов от моего интернет-провайдера, и хотя этого достаточно для веб-серверов, он слишком мал для всего, что требует доступа к сети.

Мой роутер - ASUS RT-N16, работающий под управлением DD-WRT. Я просто достаточно умен в этой теме маршрутизации, чтобы быть опасным, думаю, 2 года с волшебным маркером. Я хотел бы сохранить NAT своей внутренней сети в сети 192.168.xx и направить трафик 68.69.xx 255.255.255.248 непосредственно на серверы. Физическая сеть состоит из 4-портового маршрутизатора DD-WRT и неуправляемого коммутатора. У меня есть оптоволоконная связь с офисом, которая работает как порт Ethernet. Другими словами, я могу подключить свой ноутбук непосредственно к нему и иметь доступ к Интернету. Нет логина или пароля, и маршрутизатор настроен на получение DHCP от интернет-провайдера и предоставление адресов DHCP для внутренней сети.

То, что я до сих пор делал, это Google и пробовал разные конфигурации с небольшим успехом. В конце концов я решил, что даже не знаю, как задавать необходимые вопросы.

Мои вопросы:

  1. Это лучший способ настроить сеть?

  2. Как ты делаешь это? Сети VLAN? Несколько роутеров?

Мне никогда не приходилось настраивать маршрутизатор, используя что-то большее, чем графический интерфейс, поэтому, если это командная строка, будьте осторожны.

|источник

4 ответа4

1

Прежде всего, этот вопрос будет лучше отвечать на Serverfault.com, поскольку он ориентирован на бизнес-среду, а не на вопросы однопользовательского типа службы поддержки. Хотя это должно обсуждаться некоторыми. В качестве альтернативы вам нужно будет либо найти консультанта сетевого инженера, который разработает это для вас, либо провести целую кучу чтений о наттинге по IP и маршрутизации vlan.

Вы можете сделать это несколькими различными способами в зависимости от вашего бюджета, но я бы посмотрел на решение Cisco, для которого есть маршрутизируемые VLAN и IP NAT (преобразование сетевых адресов). В этом сценарии у вас будет несколько Vlan-ов, работающих на коммутаторе Cisco (можно использовать коммутатор уровня 2 и ваш маршрутизатор направит vlans или уровень 3 на все это для вас) и маршрутизатор Cisco, заботящийся о NAT для всех ваших внешних IP-адресов на ваши внутренние адреса и Vlans. При настройке натпинга IP на маршрутизаторах CIsco вы ограничиваете доступ, устанавливая acls, и будете перенаправлять на vlan с помощью тегов dot1q.

Вот образец дизайна:

1-2 Общедоступные IP-адреса, привязанные к частным IP-адресам Vlan 2 (ноутбуки, планшеты и т.д.)1-2 Общедоступные IP-адреса, привязанные к этапу vlan 3 (среда тестирования на стадии)

Удачи..

|источник
0

Назначьте один статический адрес вашему шлюзу, NAT все остальное и запустите каждый веб-сервер на свой порт. Настройте маршрутизатор так, чтобы он перенаправлял соответствующие порты (80) на локальный IP-адрес каждого сервера.

|источник
0

Я думаю, что эта проблема представляет проблему на гораздо более высоком уровне, возможно, на уровне приложений, а не на маршрутизации. Для того чтобы несколько серверов работали внутри одного и того же внешнего адреса и порта, между ними должно быть устройство, которое распознает HTTP-запросы более высокого уровня. Это устройство также будет иметь возможность анализировать домен из структуры URL и одновременно запрашивать внутренние серверы DNS для соответствующего разрешения. АКА обратный прокси.

По сути, внешние DNS-запросы отправляются на ваши внутренние DNS-серверы в вашей сети. Как только это произойдет, браузеры будут отправлять HTTP-запросы через NAT-шлюз только для перехвата обратным прокси-сервером, который затем анализирует домен по заголовкам, внутренне разрешает связанные имена и перенаправляет запрос на правильный сервер.

|источник
0

Учитывая то, что я вижу здесь, есть несколько вещей:

  • Переадресация порта статического IP-адреса port-80 на те серверы, которых un_messed_up достаточно, чтобы гарантировать это.
  • Для произвольного доступа к внутреннему устройству любой из ваших статических IP-адресов может использоваться в качестве выходного IP-адреса NAT. Лучше всего зарезервировать один IP-адрес только по причинам репутации IP-адресов, но с использованием только 6 используемых IP-адресов, что может быть неприемлемым.
  • Для специальных снежинок вы можете получить довольно творческий подход с конфигами HAProxy . Вы можете установить правила, основанные на имени сервера (предполагается, что SSL не задействован), которые затем будут маршрутизироваться на настроенные внутренние серверы на основе этого имени. Вроде как vhosts, но обрабатывается на уровне Proxy, а не на самом веб-сервере.

Примечание: именно поэтому IPv6 - это будущее, проблема такого рода исчезает. Но это не поможет вам сейчас (если, конечно, ваши клиенты не поддерживают v6).

Ваш конфиг выглядит довольно нормально для небольшой офисной установки.

|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .