วิธีการปรับโครงสร้างเครือข่ายสำหรับเครือข่าย Double-NAT

10

เนื่องจากชุดของการตัดสินใจการออกแบบเครือข่ายที่ไม่ดี (ส่วนใหญ่) ทำเมื่อหลายปีก่อนเพื่อประหยัดไม่กี่ bucks ที่นี่และที่นั่นฉันมีเครือข่ายที่ได้รับการออกแบบมาอย่างเหมาะสมย่อย ฉันกำลังมองหาข้อเสนอแนะเพื่อปรับปรุงสถานการณ์น้อยกว่าที่น่าพอใจนี้

เราไม่หวังผลกำไรกับแผนกไอทีบน Linux และงบประมาณที่ จำกัด (หมายเหตุ: ไม่มีอุปกรณ์ Windows ที่เราใช้ทำงานทำสิ่งที่พูดกับอินเทอร์เน็ตและเราไม่มีผู้ดูแลระบบ Windows ใด ๆ กับเจ้าหน้าที่)

ประเด็นสำคัญ:

  • เรามีสำนักงานใหญ่และไซต์ระยะไกลประมาณ 12 แห่งที่เพิ่ม NAT เป็นสองเท่าของเครือข่ายย่อยด้วยสวิตช์แยกทางกายภาพ (ไม่มี VLANing และความสามารถที่ จำกัด ในการใช้สวิตช์ปัจจุบัน)
  • ตำแหน่งที่ตั้งเหล่านี้มีซับเน็ต "DMZ" ที่เป็น NAT บนซับเน็ต 10.0.0 / 24 ที่กำหนดเหมือนกันในแต่ละไซต์ ซับเน็ตเหล่านี้ไม่สามารถพูดคุยกับ DMZ ได้ที่ตำแหน่งอื่นเพราะเราไม่ได้กำหนดเส้นทางไว้ที่ใดยกเว้นระหว่างเซิร์ฟเวอร์และ "ไฟร์วอลล์" ที่อยู่ติดกัน
  • ตำแหน่งเหล่านี้บางแห่งมีการเชื่อมต่อ ISP หลายรายการ (T1, เคเบิลและ / หรือ DSL) ที่เรากำหนดเส้นทางด้วยตนเองโดยใช้เครื่องมือ IP ใน Linux ไฟร์วอลล์เหล่านี้ทั้งหมดทำงานบนเครือข่าย (10.0.0 / 24) และส่วนใหญ่จะเป็น "ไฟร์วอลล์ระดับเกรด" (Linksys, Netgear, ฯลฯ ) หรือโมเด็ม DSL ที่ ISP จัดหาให้
  • การเชื่อมต่อไฟร์วอลล์เหล่านี้ (ผ่านสวิตช์ที่ไม่ได้รับการจัดการอย่างง่าย) เป็นเซิร์ฟเวอร์อย่างน้อยหนึ่งเซิร์ฟเวอร์ที่ต้องสามารถเข้าถึงได้แบบสาธารณะ
  • เชื่อมต่อกับซับเน็ต 10.0.0 / 24 ของสำนักงานหลักคือเซิร์ฟเวอร์สำหรับอีเมล, Tele-commuter VPN, เซิร์ฟเวอร์ VPN ของสำนักงานทางไกล, เราเตอร์หลักไปยังเครือข่ายย่อย 192.168 / 24 ภายใน สิ่งเหล่านี้จะต้องเข้าถึงได้จากการเชื่อมต่อ ISP ที่เฉพาะเจาะจงตามประเภทของการรับส่งข้อมูลและการเชื่อมต่อ
  • เส้นทางทั้งหมดของเรานั้นทำด้วยตนเองหรือด้วยคำสั่งเส้นทาง OpenVPN
  • การรับส่งข้อมูลระหว่างสำนักงานจะต้องผ่านบริการ OpenVPN ในเซิร์ฟเวอร์ 'เราเตอร์' หลักซึ่งมี NAT เป็นของตัวเอง
  • ไซต์ระยะไกลมีเซิร์ฟเวอร์เดียวเท่านั้นที่ติดตั้งในแต่ละไซต์และไม่สามารถซื้อเซิร์ฟเวอร์ได้หลายเครื่องเนื่องจากข้อ จำกัด ด้านงบประมาณ เซิร์ฟเวอร์เหล่านี้เป็นเซิร์ฟเวอร์ LTSP ทั้งหมด 5-20 มินัล
  • 192.168.2 / 24 และ 192.168.3 / 24 เครือข่ายย่อยส่วนใหญ่ แต่ไม่ใช่ทั้งหมดใน Cisco 2960 สวิตช์ที่สามารถทำ VLAN ส่วนที่เหลือเป็นสวิตช์ DLink DGS-1248 ที่ฉันไม่แน่ใจว่าฉันเชื่อถือได้ดีพอที่จะใช้กับ VLAN นอกจากนี้ยังมีข้อกังวลภายในเกี่ยวกับ VLAN เนื่องจากมีเพียงเจ้าหน้าที่เครือข่ายอาวุโสเท่านั้นที่เข้าใจวิธีการทำงาน

การรับส่งข้อมูลอินเทอร์เน็ตทั่วไปทั้งหมดจะต้องผ่านเซิร์ฟเวอร์เราเตอร์ CentOS 5 ซึ่งจะเปลี่ยน NATs 192.168 / 24 subnets เป็น 10.0.0.0/24 subnets ตามกฎการจัดเส้นทางที่กำหนดค่าด้วยตนเองซึ่งเราใช้เพื่อระบุทราฟฟิกขาออกไปยังการเชื่อมต่ออินเทอร์เน็ตที่เหมาะสม คำสั่งการเราต์ '-host'

ฉันต้องการทำให้สิ่งนี้ง่ายขึ้นและพร้อมสำหรับทุกสิ่งสำหรับการจำลองเสมือน ESXi รวมถึงบริการสาธารณะเหล่านี้ มีวิธีแก้ปัญหาที่ไม่มีค่าใช้จ่ายหรือต่ำซึ่งจะกำจัด Double-NAT และคืนสติให้กับระเบียบนี้เพื่อให้การแทนที่ในอนาคตของฉันไม่ไล่ล่าฉัน

แผนภาพพื้นฐานสำหรับสำนักงานใหญ่: ป้อนคำอธิบายรูปภาพที่นี่

นี่คือเป้าหมายของฉัน:

  • เซิร์ฟเวอร์ที่เปิดเผยต่อสาธารณะพร้อมอินเทอร์เฟซบนเครือข่ายกลาง 10.0.0 / 24 ที่จะย้ายไปอยู่ที่ 192.168.2 / 24 ซับเน็ตบนเซิร์ฟเวอร์ ESXi
  • กำจัด NAT สองเท่าและรับเครือข่ายทั้งหมดของเราบนซับเน็ตเดียว ความเข้าใจของฉันคือว่านี่คือสิ่งที่เราจะต้องทำภายใต้ IPv6 ต่อไป แต่ฉันคิดว่าระเบียบนี้กำลังยืนขวางทาง
linux  networking  routing 
เจลลัน
แหล่งที่มา
F / W 1 - F / W3 ทั้งหมดใช้เครือข่ายย่อยเดียวกันร่วมกันใช่ไหม หรือหน้ากากของพวกเขาเล็กกว่า/24? หรือพวกเขามีเครือข่ายแยกทั้งหมดสำหรับไคลเอนต์ LTSP ของพวกเขาและเซิร์ฟเวอร์เชื่อมต่อกับเครือข่ายทั้งสอง?
Mark Henderson
ใช่เครือข่ายย่อยทั้งหมดแยกทางกายภาพและแก้ไขเป็นป้ายกำกับ อันที่จริงแล้วสิ่งนี้ง่ายขึ้นกว่าเดิมที่ 192.168.3 / 24 ถูกกำหนดเส้นทางผ่านเซิร์ฟเวอร์ด้วยอินเทอร์เฟซ 2/24 และ 3/24 ก่อนที่มันจะถูกส่งไปยังเวิร์กสเตชัน LTSP หลังเซิร์ฟเวอร์นั้น
Magellan

คำตอบ:

7

1. ) ก่อนอื่นสิ่งอื่นใดได้รับแผนการที่อยู่ IP ของคุณยืดออก มันเจ็บปวดที่ต้องเปลี่ยนหมายเลขใหม่ แต่เป็นขั้นตอนที่จำเป็นในการมาถึงโครงสร้างพื้นฐานที่ใช้การได้ ตั้งไว้อย่างสะดวกสบายขนาดใหญ่และสรุปได้ง่าย ๆ สำหรับเวิร์คสเตชั่นเซิร์ฟเวอร์ไซต์ระยะไกล (ด้วย IP ที่ไม่ซ้ำกันตามธรรมชาติ) เครือข่ายการจัดการลูปแบ็ค ฯลฯ มีพื้นที่ RFC1918 จำนวนมากและราคาเหมาะสม

2. ) เป็นการยากที่จะเข้าใจถึงวิธีการจัดวาง L2 ในเครือข่ายของคุณตามแผนภาพด้านบน VLAN อาจไม่จำเป็นถ้าคุณมีอินเทอร์เฟซเพียงพอในเกตเวย์ต่าง ๆ ของคุณและสวิตช์จำนวนเพียงพอ เมื่อคุณมีความรู้สึกที่ # 1 มันอาจจะเหมาะสมที่จะพิจารณาคำถาม L2 อีกครั้งแยกกัน ที่กล่าวว่า VLAN ไม่ใช่ชุดที่ซับซ้อนหรือแปลกใหม่โดยเฉพาะอย่างยิ่งเทคโนโลยีและไม่จำเป็นต้องมีความซับซ้อน จำนวนของการฝึกอบรมขั้นพื้นฐานอยู่ในลำดับ แต่อย่างน้อยความสามารถในการแยกสวิตช์มาตรฐานออกเป็นหลายกลุ่มของพอร์ต (เช่นไม่มี trunking) สามารถประหยัดเงินได้มาก

3. ) โฮสต์ DMZ ควรถูกวางลงบนเครือข่าย L2 / L3 ของตัวเองโดยไม่รวมเข้ากับเวิร์กสเตชัน คุณควรให้เราเตอร์ชายแดนของคุณเชื่อมต่อกับอุปกรณ์ L3 (เราเตอร์อีกชุดหนึ่งคือสวิตช์ L3 หรือไม่) ซึ่งในทางกลับกันจะเชื่อมต่อเครือข่ายที่มีอินเตอร์เฟสเซิร์ฟเวอร์ภายนอก (โฮสต์ SMTP และอื่น ๆ ) โฮสต์เหล่านี้น่าจะเชื่อมต่อกลับไปยังเครือข่ายที่แตกต่างกันหรือ (น้อยกว่าที่ดีที่สุด) ไปยังซับเน็ตเซิร์ฟเวอร์ทั่วไป หากคุณจัดวางซับเน็ตของคุณอย่างเหมาะสมแล้วเส้นทางแบบคงที่ที่จำเป็นสำหรับการรับส่งข้อมูลขาเข้าโดยตรงควรจะง่ายมาก

3a.) พยายามแยกเครือข่าย VPN ออกจากบริการขาเข้าอื่น ๆ สิ่งนี้จะทำให้ง่ายขึ้นกว่าการตรวจสอบความปลอดภัยการแก้ไขปัญหาการบัญชีและอื่น ๆ

4. ) ขาดการรวมการเชื่อมต่ออินเทอร์เน็ตของคุณและ / หรือการกำหนดเส้นทางเครือข่ายย่อยเดียวผ่านผู้ให้บริการหลายราย (อ่าน: BGP) คุณจะต้องมีการกระโดดกลางก่อนที่เราเตอร์เส้นขอบของคุณเพื่อให้สามารถเปลี่ยนเส้นทางการรับส่งข้อมูล ฉันสงสัยว่าคุณกำลังทำอยู่ในขณะนี้) ดูเหมือนว่าจะปวดหัวที่ใหญ่กว่าของ VLAN แต่ฉันคิดว่ามันเกี่ยวข้องทั้งหมด

rnxrx
แหล่งที่มา
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.