我有一个来自 ISP 的网络,该网络由八个 IP 地址 (/29) 组成。假设它是 1.1.1.0/29。ISP 的网关是 1.1.1.1。该网络应该被拆分,以便两个不同的公司可以使用它,并且两个网络彼此隔离。此外,两家公司都需要外部 IP 地址。不幸的是,使用 NAT 是没有选择的。
我可以拆分这个 /29 网络,以便为两家公司中的每一个分配一个 /30 网络吗?或更准确地说:是否有可能出现以下情况:
- 公司 1 和公司 2 应连接到 Internet
- 有一个(可管理的)网络交换机可用,它可以有 VLAN
- 公司1:
- 公司 1 的防火墙的 IP 地址为 1.1.1.2
- 公司 1 的子网掩码是 255.255.255.252
- 公司 1 的默认网关是 1.1.1.1
- 公司2:
- 公司 2 的防火墙 IP 地址为 1.1.1.6
- 公司 2 的子网掩码为 255.255.255.252
- 公司 2 的默认网关是 1.1.1.5(这是交换机上的 VLAN 接口地址)
- 转变
- Switch上配置了两个VLAN
- 在 VLAN 1 上,有来自 ISP 的上行链路和公司 1 的防火墙相连。
- VLAN 1 没有接口地址。
- 在 VLAN 2 上,连接了公司 2 的防火墙
- VLAN 2 的接口 IP 地址为 1.1.1.5/30
- 路由表:
- 0.0.0.0/0 next-hop: 1.1.1.1(这是连接到 Internet)
- 1.1.1.0/30 vlan-1
- 1.1.1.4/30 vlan-2
这样的设置会起作用吗?是否可以将一个公共 /29 IPv4 网络拆分为两个公共 /30 IPv4 网络并将上传地址位于两个子网之一?
这绝对是可能的,但如果重新配置 ISP 网关以直接将两个 VLAN 处理为 /30s,那将是最简单的。(从技术方面来看,这应该是一个非常简单的改变——至少我希望从商业级路由器中得到——困难的部分是让 ISP 真正做到这一点。)
(如果重新配置 ISP 网关以通过您自己的路由整个 /29也可以
路由器路由交换机。然后你的路由器交换机可以对这些数据包做任何事情。)最后,在没有 ISP 合作的情况下拆分网络在技术上也是可行的。但是,只要 ISP 网关认为它是 /29 子网的一部分,它就会针对 /29 中的所有地址发送 ARP 查询。如果你将其中一半移到另一个路由器后面,仍然需要一些东西来回答这些 ARP 查询!
这意味着您的第二个网关(1.1.1.5 路由交换机)将需要对 ISP 的网关撒谎——它需要在 VLAN 1 上运行Proxy-ARP并代表整个 1.1.1.4/30 回答 ARP 查询。
不要划分子网。将 1.1.1.2 和 1.1.1.3 分配给第 1 公司,将 1.1.1.4 和 1.1.1.5 分配给第 2 公司,1.1.1.6 将是您的“热门储备”。
在这种情况下,您的路由器必须充当透明网桥。而且,不需要路由器,普通的L3-commutator就足够了。
如果您想禁止公司间访问(以前这是非法的,您没有任何凭据来过滤互联网流量),那么您可以根据路由器上的拒绝防火墙规则进行过滤。