Eu tenho uma rede de um ISP que consiste em oito endereços IP (/29). Digamos que seja 1.1.1.0/29. O gateway do ISP é 1.1.1.1. Essa rede deve ser dividida para que possa ser usada por duas empresas diferentes e ambas as redes sejam isoladas uma da outra. Além disso, ambas as empresas precisam de endereços IP externos. Usar NAT não é uma opção, infelizmente.
Posso dividir esta rede /29 para que cada uma das duas empresas seja atribuída a uma rede /30? Ou mais precisamente: É possível ter o seguinte cenário:
- A empresa 1 e a empresa 2 devem estar conectadas à Internet
- Existe um switch de rede (gerenciável) disponível que pode ter VLANs
- Empresa 1:
- O firewall da empresa 1 tem o endereço IP 1.1.1.2
- A máscara de sub-rede da empresa 1 é 255.255.255.252
- O gateway padrão da Empresa 1 é 1.1.1.1
- Empresa 2:
- O firewall da empresa 2 tem o endereço IP 1.1.1.6
- A máscara de sub-rede da Empresa 2 é 255.255.255.252
- O gateway padrão da Empresa 2 é 1.1.1.5 (que é o endereço da interface VLAN no switch)
- Trocar
- Há duas VLANs configuradas no Switch
- Na VLAN 1, há o uplink do ISP e o firewall da empresa 1 conectados.
- A VLAN 1 não tem endereço de interface.
- Na VLAN 2, há o firewall da empresa 2 conectado
- VLAN 2 tem o endereço IP de interface 1.1.1.5/30
- Tabela de roteamento:
- 0.0.0.0/0 next-hop: 1.1.1.1 (Esta é a conexão com a Internet)
- 1.1.1.0/30 vlan-1
- 1.1.1.4/30 vlan-2
Essa configuração funcionaria? É possível dividir uma rede IPv4 pública /29 em duas redes IPv4 públicas /30 e ter o endereço de upload localizado em uma das duas sub-redes?
É definitivamente possível, mas seria mais fácil se o gateway ISP fosse reconfigurado para lidar diretamente com ambas as VLANs como /30s. (Do lado técnico, esta deve ser uma mudança muito simples - pelo menos eu esperaria de um roteador de nível empresarial - a parte difícil é fazer com que o ISP realmente faça isso.)
(Também seria bom se o gateway ISP fosse reconfigurado para rotear todo o /29 por meio de seu próprio
roteadorinterruptor de roteamento. Então seuroteadorswitch pode fazer o que quiser com esses pacotes.)Finalmente, dividir a rede sem a cooperação do ISP também é tecnicamente possível. No entanto, desde que o gateway ISP pense que faz parte de uma sub-rede /29, ele enviará consultas ARP para todos os endereços nesse /29. E se você mover metade deles atrás de outro roteador, algo ainda precisará responder a essas consultas ARP!
Isso significa que seu segundo gateway (o switch de roteamento 1.1.1.5) precisará estar no gateway do ISP – ele precisa executar Proxy-ARP na VLAN 1 e responder a consultas ARP em nome de todo o 1.1.1.4/30.
Não divida a sub-rede. Atribua 1.1.1.2 e 1.1.1.3 à 1ª empresa e 1.1.1.4 e 1.1.1.5 à 2ª empresa, 1.1.1.6 será sua "reserva quente".
Seu roteador deve atuar como ponte transparente neste caso. Além disso, o roteador não é necessário, o comutador L3 comum é suficiente.
Se você deseja proibir o acesso entre empresas (formalmente isso é ilegal, você não possui credenciais para filtrar o tráfego da Internet), poderá filtrar de acordo com as regras de negação de firewall em seu roteador.