Çift NAT ağ için Ağ Yeniden Yapılandırma Yöntemi

10

Nedeniyle kötü ağ tasarım kararlarının bir dizi (çoğunlukla) yapılan birçok burada birkaç kuruş kazanmak için yıllar önce ve ben kesinlikle alt optimal architected bir şebekeyi orada var. Bu hoş olmayan durumu iyileştirmek için öneriler arıyorum.

Linux tabanlı bir BT departmanı ve sınırlı bir bütçeyle kâr amacı gütmeyen bir kuruluşuz. (Not: Çalıştığımız Windows ekipmanlarının hiçbiri internetle konuşan hiçbir şey yapmaz ve personel üzerinde Windows yöneticileri yoktur.)

Anahtar noktaları:

  • Bir ana ofisimiz ve alt ağlarını fiziksel olarak ayrılmış anahtarlarla iki katına çıkaran yaklaşık 12 uzak sitemiz var. (VLAN yok ve akım anahtarları ile sınırlı yetenek)
  • Bu konumlar, her sitede aynı şekilde atanan 10.0.0 / 24 alt ağında NAT olan bir "DMZ" alt ağına sahiptir. Bu alt ağlar, sunucu ile bitişik "güvenlik duvarı" dışında hiçbir yere yönlendirilmediğimiz için DMZ'lerle başka hiçbir yerde konuşamaz.
  • Bu konumlardan bazılarında, Linux'ta IP Araçlarını kullanarak manuel olarak yönlendirdiğimiz birden çok ISS bağlantısı (T1, Kablo ve / veya DSL) bulunur. Bu güvenlik duvarlarının tümü (10.0.0 / 24) ağında çalışır ve çoğunlukla "yanlısı" sınıf güvenlik duvarları (Linksys, Netgear, vb.) Veya ISS tarafından sağlanan DSL modemlerdir.
  • Bu güvenlik duvarlarını bağlamak (basit yönetilmeyen anahtarlar aracılığıyla), genel olarak erişilebilir olması gereken bir veya daha fazla sunucudur.
  • Ana ofisin 10.0.0 / 24 alt ağına bağlı olan, 192.168 / 24 dahili alt ağlara e-posta, tele-banliyö VPN, uzak ofis VPN sunucusu, birincil yönlendirici sunucularıdır. Bunlar, trafik türüne ve bağlantı kaynağına dayalı olarak belirli ISS bağlantılarından erişilmelidir.
  • Tüm yönlendirmelerimiz manuel olarak veya OpenVPN rota ifadeleriyle yapılır
  • Ofisler arası trafik, kendi NAT'ının dahil olduğu ana 'Yönlendirici' sunucusundaki OpenVPN hizmetinden geçer.
  • Uzak sitelerde her siteye yalnızca bir sunucu yüklenir ve bütçe kısıtlamaları nedeniyle birden fazla sunucu göze alamaz. Bu sunucuların hepsi LTSP sunucuları birkaç 5-20 terminaldir.
  • 192.168.2 / 24 ve 192.168.3 / 24 alt ağları çoğunlukla VLAN yapabilen Cisco 2960 anahtarlarında bulunur ancak tamamen DEĞİLDİR. Kalanlar, VLAN'larla kullanmak için yeterince güvendiğimden emin olmadığım DLink DGS-1248 anahtarları. Sadece üst düzey ağ personelinin nasıl çalıştığını anladığından, VLAN'larla ilgili bazı iç endişeler de vardır.

Tüm normal internet trafiği, giden trafiği temel internet bağlantısına göre uygun internet bağlantısına yönlendirmek için kullandığımız manuel olarak yapılandırılmış yönlendirme kurallarına göre 192.168 / 24 alt ağları NAT'a 10.0.0.0/24 alt ağlarına dönüştüren CentOS 5 yönlendirici sunucusundan geçer. '-host' yönlendirme ifadeleri.

Bunu basitleştirmek ve halka açık bu hizmetler de dahil olmak üzere ESXi sanallaştırması için her şey hazır. Double-NAT'tan kurtulacak ve bu karışıklığa biraz akıl getirecek hiçbir ya da düşük maliyetli bir çözüm var mı, böylece gelecekteki değişimim beni avlamıyor mu?

Merkez ofis için temel diyagram: resim açıklamasını buraya girin

Bunlar benim hedeflerim:

  • Bu orta 10.0.0 / 24 ağında arabirimleri olan halka açık Sunucular, ESXi sunucularında 192.168.2 / 24 alt ağına taşınacaktır.
  • Çift NAT'dan kurtulun ve tüm ağımızı tek bir alt ağda toplayın. Anladığım kadarıyla bu IPv6 altında yapmamız gereken bir şey, ama bu karışıklığın yolunda olduğunu düşünüyorum.
linux  networking  routing 
Macellan
kaynak
F / W 1 - F / W3 hepsi aynı alt ağı paylaşıyor, değil mi? Yoksa maskeleri küçük /24mü? Yoksa LTSP istemcileri için tamamen ayrı bir ağları var mı ve sunucu her iki ağa da bağlı mı?
Mark Henderson
Evet, alt ağların tümü fiziksel olarak ayrılır ve etiketli olarak adreslenir. Aslında, 192.168.3 / 24'ün THAT sunucusunun arkasındaki LTSP iş istasyonlarına yönlendirilmeden önce 2/24 ve 3/24 arayüzlü bir sunucudan yönlendirilmesi daha da basitleştirilmiştir.
Magellan

Yanıtlar:

7

1.) Temel olarak başka bir şeyden önce IP adresleme planınızı düzleştirin. Yeniden numaralandırmak acı verici ama uygulanabilir bir altyapıya ulaşmak için gerekli adım. İş istasyonları, sunucular, uzak siteler (benzersiz IP'lerle, doğal olarak), yönetim ağları, geridönüşler, vb.

2.) Yukarıdaki şemaya göre ağınızda L2'yi nasıl yerleştireceğinizi anlamak zor. Çeşitli ağ geçitlerinizde yeterli sayıda arayüzün yanı sıra yeterli sayıda anahtarınız varsa VLAN'lar gerekli olmayabilir. # 1 hissine sahip olduğunuzda, L2 sorusunu ayrı olarak yeniden yaklaşmanız mantıklı olabilir. Bununla birlikte, VLAN'lar özellikle karmaşık veya yeni bir teknoloji seti değildir ve bu kadar karmaşık olması gerekmez. Belli bir miktar temel eğitim gereklidir, ancak en azından standart bir geçişi birkaç liman grubuna (yani kanal olmadan) ayırma yeteneği çok para tasarrufu sağlayabilir.

3.) DMZ ana bilgisayarları muhtemelen iş istasyonlarıyla birleştirilmeden kendi L2 / L3 ağlarına yerleştirilmelidir. İdeal olarak sınır yönlendiricilerinizin L3 cihazına (başka bir yönlendirici seti mi? Bu ana bilgisayarlar muhtemelen farklı bir ağa veya (daha az optimal olarak) ortak bir sunucu alt ağına bağlanır. Alt ağlarınızı uygun şekilde yerleştirdiyseniz, gelen trafiği yönlendirmek için gereken statik yollar çok basit olmalıdır.

3a.) VPN ağlarını diğer gelen hizmetlerden ayrı tutmaya çalışın. Bu, güvenlik izleme, sorun giderme, muhasebe vb. Kadar işleri kolaylaştırır.

4.) İnternet bağlantılarınızı birleştirmekten ve / veya tek bir alt ağı birkaç taşıyıcı (örneğin: BGP) üzerinden yönlendirmemek için, sınır yönlendiricilerinizin içeri ve dışarı trafiği uygun şekilde yönlendirebilmesi için ( Şu anda yaptığını sanıyorum). Bu, VLAN'lardan daha büyük bir baş ağrısı gibi görünüyor, ancak sanırım hepsi göreceli.

rnxrx
kaynak
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.