我可以划分子网的子网吗?

Modified on: Fri, 08 Nov 2019 11:20:01 +0800

提前为拙劣的术语道歉。我已经阅读了服务器故障子网Wiki,但这更像是一个ISP问题。

我目前拥有/ 27块公共IP。我使用为我的路由器提供此池中的第一个地址,然后对防火墙后面的所有服务器使用1对1 NAT,以便它们各自获得自己的公共IP。

路由器/防火墙当前正在使用(为了保护有罪而删除了实际地址):

IP Address:  XXX.XXX.XXX.164
Subnet mask: 255.255.255.224
Gateway:     XXX.XXX.XXX.161

我想要做的是将我的子网分成两个独立的/ 28个子网。并以对ISP透明的方式执行此操作(即,他们认为我继续操作单个/ 27)。

目前,我的拓扑结构如下:

     ISP
      |
[Router/Firewall]
      |
  [Managed Ethernet Switch]
  /       \         \
[Server1] [Server2] [Server3] (etc)

相反,我希望它看起来像:

       ISP
        |
    [Switch]
    /      \
[Router1] [Router2]
  |    |    |   |
[S1] [S2] [S3] [S4] (etc)

正如您所看到的,这会将我分成两个独立的网络。

我正在努力解决Router1和Router2上正确的IP设置问题。

这就是我现在所拥有的:

              Router1              Router2
IP Address:   XXX.XXX.XXX.164      XXX.XXX.XXX.180
Subnet mask:  255.255.255.240      255.255.255.240
Gateway:      XXX.XXX.XXX.161      XXX.XXX.XXX.161

请注意,通常你会期望Router2拥有.177的网关,但我试图让它们都使用最初由ISP提供给我的网关。

这样的子网划分事实上是可能的,还是我完全拙劣的最基本的概念?

-

修改强>

有几个人问过“为什么”。我想要这样做有几个具体原因:

  1. 我的路由器/防火墙每6-8周锁定一次。我经历了一连串的设备:NetGear FVS318,< a href =“http://www.cisco.com/en/US/products/ps9925/index.html”rel =“nofollow noreferrer”> Linksys RV042 ,Watchguard Firebox Edge X20eCisco ASA 5505。所有设备都发生了同样的事情,这显然是由于该设备管理的十几个IPSec VPN隧道。无论何时锁定,网络工程师都需要对设备进行物理电源循环。

  2. 我有一个大客户端,机柜中大约有1/2的服务器是他们的。我希望该客户能够自己管理防火墙和VPN规则,而不是通过我。这样,我会给他们root2访问Router2,他们可以自己管理一切,而不会给Router1带来任何问题。

  3. 醇>
作者:Community,Portman

最佳答案

如果您没有使用NAT,即如果您想要实际路由并将真实服务器放在这些IP地址上,那么您就无法以对提供商透明的方式对您的网络进行子网划分;他们需要修改他们的路由器配置和他们的路由表来考虑你的新网络设置,可能会给你两个网关地址和/或两个路由器(或者如果你把一个子网“放在”另一个子网之后设置一个新的路由,你的防火墙在中间。)

但是,如果你继续使用NAT并且只是将一半的地址提供给防火墙而将其中一半提供给另一个,那么它们的外部IP将显示给你的ISP仍然属于一个子网,一切都会继续正常工作

作者:Massimo

相关问答

添加新评论