IPs locais e públicos no mesmo switch?

3

Tudo está praticamente no título. É possível atribuir IPs locais e públicos a nós diferentes conectados ao mesmo switch?

Eu tenho 4 servidores com 2 portas Ethernet de gigabit cada. Eu quero que um de cada um tenha um IP público e as portas restantes tenham IPs locais para o tráfego de servidor para servidor.

Editar:

A razão pela qual eu quero fazer isso é porque meu switch está alguns níveis abaixo do roteador voltado para o público da empresa, e eu não quero entupir os outros switches e roteadores com tráfego que só precisa ir de um dos os 4 servidores para outro. O tráfego público será mínimo, mas o servidor para o servidor será enorme.

Editar 2:

Acabei de confirmar com nosso provedor (estamos alugando rackspace): Eu não tenho acesso a nenhum upstream de hardware NAT. Tudo o que temos é um intervalo de IPs e alguns switches, que não podem ser reorganizados porque outros clientes também os utilizam. Então, neste ponto, minhas opções parecem ser:

  1. IDEAL: Compre firewall / roteador com capacidade para NAT e configure os switches atuais com NIC em cada servidor para um IP local, e o roteador encaminhará IPs públicos para os IPs locais.
  2. BARATO: Divida o switch em 2 VLANs para divisão de intervalo de IP público / local. O switch possui suporte à VLAN 802.1q.

Vamos para 2 por enquanto e provavelmente mudaremos para 1 no futuro se os requisitos de largura de banda aumentarem. Obrigado a todos por seu conselho.

    
por Andrew Ensley 26.04.2010 / 17:00

5 respostas

8

É possível , mas não é recomendado , especialmente quando existem formas melhores.

Primeiro, os switches não se importam com seus endereços IP, eles se importam com seus endereços MAC. Eles são dispositivos "camada 2". Endereços IP são camada 3, então eles são praticamente irrelevantes para o lado da mudança das coisas.

Para ter certeza de que sua infraestrutura está correta, você tem os servidores A, B, C e D. Cada um deles tem 2 NICs. Você deseja usar a NIC 1 em cada servidor e configurá-los com endereços IP externos voltados para a Internet, depois usar a NIC 2 em cada servidor e configurá-los com IPs privados?

Eu tenho que perguntar por que, neste momento.

Se for para largura de banda dedicada, você seria melhor servido para vincular NIC # 1 e NIC # 2 em uma interface lógica, que pode dobrar a largura de banda.

Se for para segurança, você precisará fornecer mais algumas informações, porque não há segurança adicional ao usar IPs privados em um comutador com conexões de rede pública. Você não vai transmitir nada para a internet *, mas, ao mesmo tempo, qualquer rede transmitida das placas de rede no bloco de IP privado (coisas como solicitações ARP / RARP e afins) será enviado para o seu roteador upstream. Não os encaminhará ou responderá, mas certamente não fará nada por você.

(* - provavelmente não, de qualquer forma)

Agora, se você ainda está preocupado com a segurança, por que não usar VLANs no switch para separar a rede externa da rede interna? As VLANs criarão dois switches lógicos *, que impedirão o vazamento da informação de broadcast da camada 2 para o roteador e, em geral, a segregação de redes "privadas" em redes de camada lógica 2 distintas é preferível.

(* - estou simplificando, mas em essência, é isso que faz)

    
por 26.04.2010 / 17:21
1

Isso soa como um caso para o encaminhamento de NAT e confiar em seu switch.

Eu manteria os ips internos dos servidores em apenas uma das suas portas. O switch impedirá que o tráfego do servidor para o servidor cause impacto no restante da sua rede. Se você precisar de largura de banda, talvez queira obter um switch gigabit para os servidores, se o resto da sua rede for de 100 megabits. Se o seu tráfego externo estiver baixo, não há razão para usar a segunda placa de rede até que você precise de largura de banda.

As conexões para o seu ip externo devem ser encaminhadas para o ip interno do seu roteador via NAT.

Não consegui encontrar uma imagem exata da topologia que você está procurando, mas isso está próximo, sem interrupções. alt text http://www.b.ali.btinternet.co.uk/DCPlusPlus/ images / activeTopologyC.png

Na minha configuração eu tenho o meu Cisco ASA firewall encaminhar solicitações para um endereço IP específico e porta para um endereço IP interno e porta. O servidor recebe o pedido e o encaminha para a rede. Dessa forma, posso manter qualquer roteamento público no lado público do meu firewall, transmissões internas e tráfego no lado interno e ainda acessar serviços na rede interna.

    
por 26.04.2010 / 17:44
1

Em algumas situações, eu ficaria bem em fazer isso se o switch fosse um switch relativamente moderno que tenha suporte à tag VLAN 802.1q.

Eu criaria uma vlan para o tráfego público e uma vlan para o tráfego privado e usaria endereços privados para o tráfego privado. Coloque um conjunto de portas em uma vlan (todas sem tag) e outro conjunto de portas em outra vlan.

Coloque suas interfaces / endereços públicos em uma vlan e coloque os endereços privados na outra.

Tenha em atenção que, se algum dos computadores voltados para o público for invadido, exporá as interfaces privadas dos outros anfitriões na rede privada a esse computador com raiz. Você deve tratar todas dessas interfaces como indignas de confiança quando estiver configurando e examinando seu modelo de segurança.

Pensando nisso um pouco - o modelo vlan é quase o mesmo que configurar aliases de endereço IP e colocar tudo no mesmo domínio de broadcast / vlan. De certa forma, é ainda melhor porque você pode fazer o LACP entre os computadores e o switch e obter melhor desempenho e redundância de links. Mas eu ainda não faria isso porque é feio confiar no seu roteador / firewall para diminuir o tráfego para o espaço RFC1918.

    
por 26.04.2010 / 18:14
1

The reason I want to do this is because my switch is a few levels down from our company's public-facing router, and I don't want to clog the other switches and router with traffic that only needs to go from one of the 4 servers to another. The public traffic will be minimal, but server-to-server will be huge.

O tráfego de servidor para servidor não "fluirá" magicamente para os outros comutadores porque todos os quatro servidores estão no mesmo comutador (a menos que estejam em uma VLAN que esteja entroncada a montante de outro comutador, mas você não fez isso mencionar algo assim).

Se você espera algum tráfego importante de servidor para servidor, basta fazer a ligação de NIC, fornecer à interface vinculada um IP interno e usar o encaminhamento de NAT / porta para permitir o acesso público.

    
por 26.04.2010 / 18:19
0

Deve ser possível, dependendo da sua conexão com a internet, mas eu não recomendo isso. Você se abre para todos os tipos de riscos de segurança. Acima de tudo, você estaria transmitindo sua transmissão interna para a internet. Seu Internetrouter será o limite desses braodcast. Mas se não estiver sob seu controle, eu não me sentiria bem com isso.

Mas duvido que sua configuração tenha algum benefício. Desde o seu switch será o limite para o throughput. Você usa a frio os IPs públicos exclusivamente (com tráfego criptografado!). Qual é o motivo por trás dessa configuração?

    
por 26.04.2010 / 17:06

Tags