由于许多年前为了在这里和那里节省几美元而做出的一系列糟糕的网络设计决策(大部分),我的网络显然是次优架构的。我正在寻找改善这种不愉快情况的建议。
我们是一家非营利组织,拥有基于 Linux 的 IT 部门且预算有限。(注意:我们所运行的 Windows 设备都没有做任何与 Internet 对话的事情,我们也没有任何 Windows 管理员。)
关键点:
- 我们有一个主要办公室和大约 12 个远程站点,这些站点基本上使用物理隔离的交换机将其子网 NAT 加倍。(没有 VLANing,并且当前交换机的能力有限)
- 这些位置有一个“DMZ”子网,在每个站点的相同分配的 10.0.0/24 子网上进行 NAT。这些子网无法与任何其他位置的 DMZ 通信,因为我们不会将它们路由到服务器和相邻“防火墙”之间以外的任何地方。
- 其中一些位置有多个 ISP 连接(T1、电缆和/或 DSL),我们使用 Linux 中的 IP 工具手动路由这些连接。这些防火墙都在 (10.0.0/24) 网络上运行,并且大多是“专业消费者”级防火墙(Linksys、Netgear 等)或 ISP 提供的 DSL 调制解调器。
- 连接这些防火墙(通过简单的非托管交换机)是一台或多台必须可公开访问的服务器。
- 连接到总部的 10.0.0/24 子网的是电子邮件服务器、远程通勤者 VPN、远程办公室 VPN 服务器、到内部 192.168/24 子网的主路由器。这些必须根据流量类型和连接源从特定的 ISP 连接进行访问。
- 我们所有的路由都是手动或使用 OpenVPN 路由语句完成的
- 办公室间的流量通过主“路由器”服务器中的 OpenVPN 服务,该服务器有自己的 NAT'ing。
- 远程站点每个站点只安装一台服务器,并且由于预算限制无法负担多台服务器。这些服务器都是5-20个终端的LTSP服务器。
- 192.168.2/24 和 192.168.3/24 子网大部分但不完全在可以做 VLAN 的 Cisco 2960 交换机上。其余的是 DLink DGS-1248 交换机,我不确定我是否足够信任它们以用于 VLAN。内部对 VLAN 也存在一些担忧,因为只有高级网络人员了解其工作原理。
所有常规互联网流量都通过 CentOS 5 路由器服务器,该服务器根据手动配置的路由规则将 192.168/24 子网 NAT 到 10.0.0.0/24 子网,我们使用这些路由规则将出站流量指向正确的互联网连接'-host' 路由语句。
我想简化这一点并为 ESXi 虚拟化准备好所有东西,包括这些面向公众的服务。是否有一个免费或低成本的解决方案可以摆脱双 NAT 并使这个混乱局面恢复一点理智,以便我未来的替代者不会追捕我?
主办公室的基本图:
这些是我的目标:
- 在中间 10.0.0/24 网络上具有接口的面向公众的服务器将移入 ESXi 服务器上的 192.168.2/24 子网。
- 摆脱双重 NAT,让我们的整个网络都在一个子网上。我的理解是,无论如何,这是我们需要在 IPv6 下做的事情,但我认为这种混乱阻碍了这一进程。
1.) 在基本上弄清楚您的 IP 寻址计划之前。重新编号很痛苦,但这是实现可用基础架构的必要步骤。为工作站、服务器、远程站点(自然具有唯一 IP)、管理网络、环回等留出舒适的大型、易于总结的超网。RFC1918 空间很大,价格也合适。
2.) 根据上图很难了解如何在您的网络中布置 L2。如果您在各种网关中有足够数量的接口以及足够数量的交换机,则可能不需要 VLAN。一旦您了解了#1,单独重新处理 L2 问题可能是有意义的。也就是说,VLAN 并不是一套特别复杂或新颖的技术,也不需要那么复杂。一定数量的基础培训是有序的,但至少将标准交换机分成几组端口(即没有中继)的能力可以节省很多钱。
3.) DMZ 主机应该放在它们自己的 L2/L3 网络上,而不是与工作站合并。理想情况下,您会将边界路由器连接到 L3 设备(另一组路由器?L3 交换机?),这反过来又会连接到包含面向外部的服务器接口(SMTP 主机等)的网络。这些主机可能会连接回不同的网络或(不太理想)连接到公共服务器子网。如果您适当地布置了子网,那么引导入站流量所需的静态路由应该非常简单。
3a.) 尽量将 VPN 网络与其他入站服务分开。就安全监控、故障排除、会计等而言,这将使事情变得更容易。
4.) 如果不整合您的互联网连接和/或通过多个运营商路由单个子网(阅读:BGP),您将需要在边界路由器之前的中间跃点,以便能够适当地重定向入站和出站流量(如我怀疑你现在正在做)。这似乎比 VLAN 更令人头疼,但我想这都是相对的。