Como configurar a segunda sub-rede não consecutiva na mesma interface?

Navegue suas respostas
1

Eu tenho alguns servidores na rede pública do meu provedor, digamos 192.168.2.0/24 . Agora meu provedor me fornece endereços IP adicionais, mas infelizmente não em um intervalo subsequente da minha primeira rede, digamos 192.168.4.0/24 . Eu configuro os novos servidores com o novo intervalo de IP e agora eles se comunicam pelo gateway padrão entre as sub-redes, embora estejam na mesma rede física. Eu adiciono uma rota para a segunda rede em cada servidor, para que eles possam enviar pacotes diretamente uns aos outros. Mas se eu olhar no ifconfig, é claro que ainda vejo apenas uma sub-rede configurada.

Há alguma desvantagem dessa configuração? Qual é a diferença para o caso em que eu tive as redes consecutivas 192.168.2.0/24 e 192.168.3.0/24 e poderia apenas configurar todas as interfaces no ifconfig com 192.168.2.0/23 e evitar a rota extra?

Eu posso imaginar que o comportamento de broadcast seja diferente. Se eu transmitir uma rede, só iria para metade dos meus servidores em uma sub-rede.

Adições:

Ao ler as primeiras respostas, acho que minha pergunta talvez não tenha sido clara o suficiente. Todos os servidores devem estar na rede pública, não quero escondê-los atrás de algum roteador. Todos eles também têm uma conexão de rede interna, onde a maioria do tráfego está passando. Eu estava imaginando como você configuraria várias sub-redes na mesma interface de rede e qual a diferença entre uma configuração com sub-redes consecutivas e outra com sub-redes não consecutivas. Para mim, os servidores estão todos na mesma rede pública. É apenas que a atribuição de IP do meu provedor e as opções de configuração que eu vejo no Linux não me permitem realmente configurar os servidores como tal. Eu tenho que fazer a separação entre as duas sub-redes. Posso adicionar rotas adicionais, mas será o mesmo que se eu tivesse um intervalo de IPs consecutivos para todos os servidores?

    
por anselm 20.12.2012 / 18:43

3 respostas

1

Em IP público, tê-los na mesma rede ou não, ou consecutivos, não muda muito, a menos que você possua toda a "sub-parte" que você pode limitar com o CIDR. Se você permitir o roteamento de toda a sub-rede, terá máquinas externas roteadas pela sua rede. De qualquer forma, nunca é bom encaminhar publicamente os seus dados privados.

Para manter seus servidores conectados de maneira privada, dependendo do número de portas / serviços que você precisa acessar, você pode:

  • veja se não há possibilidade de ter um gateway / roteador privado entre os servidores
  • constrói túneis ssh para cada necessidade para que você possa usar para conectar, por exemplo, o mysql sendo executado no segundo servidor usando uma porta local no primeiro servidor e toda a conexão é criptografada pelo túnel
  • construa uma VPN e seus servidores estarão trabalhando em um ambiente de LAN dentro da VPN

Existem provavelmente outros métodos, mas estes são os que mais me interessam e são seguros, simples e fáceis de aplicar.

    
por 20.12.2012 / 19:06
1

A desvantagem é que todo o tráfego entre sub-redes deve passar por um roteador, em vez de ser diretamente comutado. Em uma configuração típica do SoHo, você tem um comutador de velocidade de fio (integrado ao roteador, conectando suas portas Ethernet), conectado à parte de roteamento que deve usar sua CPU para rotear os pacotes no nível do processo. Um roteador sem fio típico SoHo gigabit pode alternar 600.000 pacotes por segundo, mas somente 35.000 pacotes por segundo.

Além disso, isso significa que todo o tráfego deve cruzar o link interno entre a parte do comutador e a parte do roteador duas vezes, uma vez em cada direção. A porção de comutação é tipicamente totalmente não-bloqueante, mas você pode facilmente sobrecarregar o link entre as duas partes (que é tipicamente um link Gigabit Ethernet interno.

Um típico roteador WiFi de médio a alto parece com isso internamente:

portas gigabit < - > interruptor não bloqueador < - > link gigabit interno < - > CPU de roteamento < - > WiFi

Se ele tiver um modem embutido, isso também é conectado à CPU. Se tiver uma porta Ethernet Internet / WAN, às vezes conectada à CPU, mas mais comumente conectada também à chave sem bloqueio. Normalmente, o link Gigabit interno tem suporte para VLAN, de modo que pode transportar o tráfego de WAN e LAN.

    
por 20.12.2012 / 19:26
1

Assumindo que seu objetivo é evitar o envio de tráfego para o gateway e eles estão todos na mesma rede física:

Você poderia adicionar um segundo IP privado em cada um dos servidores? Então todas as comunicações entre servidores podem ser enviadas pelo IP privado diretamente para o outro servidor sem passar por um gateway.

    
por 20.12.2012 / 19:51

Tags

evitando “sudo su -” mas permitindo “sudo su - serveruser” Como desanexar uma região não global do Solaris quando o zoneadm detach não estiver disponível?