Linux – 双NAT网络的网络重构方法

由于多年前制定的一系列糟糕的网络设计决策(大多数情况下)是为了节省一些钱,我有一个网络明确地进行了次优设计.我正在寻找改善这种不太愉快的情况的建议.

我们是一个非盈利组织,拥有基于Linux的IT部门和有限的预算. (注意:我们运行的Windows设备都没有执行与Internet通信的任何操作,也没有任何Windows管理员.)

关键点:

>我们主要有一个主办公室和大约12个远程站点
使用物理隔离交换机对其子网进行双重NAT. (没有
VLAN和使用当前交换机执行此操作的能力有限)
>这些位置具有相同NAT的“DMZ”子网
在每个站点分配10.0.0 / 24子网.这些子网无法通话
DMZ位于任何其他位置,因为我们不将它们路由到任何地方
除了服务器和相邻的“防火墙”之间.
>其中一些位置具有多个ISP连接(T1,电缆和/或DSL),我们使用Linux中的IP工具手动路由.这些防火墙都运行在(10.0.0 / 24)网络上,主要是“专业级”防火墙(Linksys,Netgear等)或ISP提供的DSL调制解调器.
>连接这些防火墙(通过简单的非托管交换机)是一个或多个必须可公开访问的服务器.
>连接到主办公室的10.0.0 / 24子网是用于电子邮件,远程通勤VPN,远程办公室VPN服务器,到内部192.168 / 24子网的主路由器的服务器.这些必须基于流量类型和连接源从特定ISP连接进行访问.
>我们所有的路由都是手动完成的,也可以是OpenVPN路由语句
>办公室间流量通过主要“路由器”服务器中的OpenVPN服务,该服务器具有自己的NAT.
>远程站点每个站点只安装一台服务器,并且由于预算限制而无法承受多台服务器.这些服务器都是LTSP服务器的5-20个终端.
> 192.168.2 / 24和192.168.3 / 24子网大部分但不完全在可以执行VLAN的Cisco 2960交换机上.其余的是DLink DGS-1248交换机,我不确定我是否足够信任与VLAN一起使用.还有一些关于VLAN的内部问题,因为只有高级网络员工才能理解它是如何工作的.

所有常规互联网流量都通过CentOS 5路由器服务器,根据我们用于将出站流量指向适当的互联网连接的手动配置的路由规则,将192.168 / 24子网NAT连接到10.0.0.0/24子网. ‘-host’路由语句.

我想简化这一过程,为ESXi虚拟化做好准备,包括这些面向公众的服务.是否有一个没有成本或低成本的解决方案可以摆脱Double-NAT并为这个烂摊子恢复一点理智,以便我未来的替代品不会让我失望?

总公司基本图:

这些是我的目标:

>面向公众的服务器,将中间10.0.0 / 24网络上的接口移入ESXi服务器上的192.168.2 / 24子网.
>摆脱双NAT并将我们的整个网络放在一个子网上.我的理解是,无论如何,这是我们在IPv6下需要做的事情,但我认为这个混乱阻碍了.

解决方法

1.)在基本上任何事情之前,你的IP寻址计划都要理顺.重新编号是痛苦的,但这是实现可行的基础设施的必要步骤.为工作站,服务器,远程站点(具有独特的IP,自然),管理网络,环回等留出舒适大,易于概括的超网.有很多RFC1918空间,价格合适.

2.)根据上图,很难了解如何在网络中布置L2.如果您的各种网关中有足够数量的接口以及足够数量的交换机,则可能不需要VLAN.一旦你有了#1的感觉,分开重新认识L2问题可能是有意义的.也就是说,VLAN并不是一套特别复杂或新颖的技术,也不一定非常复杂.一定程度的基本训练是有序的,但至少将标准开关分成几组端口(即没有中继)的能力可以节省很多钱.

3.)DMZ主机应该放在他们自己的L2 / L3网络上,而不是与工作站合并.理想情况下,您的边界路由器连接到L3设备(另一组路由器?L3交换机?),这反过来会连接包含面向外部服务器接口(SMTP主机等)的网络.这些主机可能会连接回不同的网络或(不太理想)连接到公共服务器子网.如果您已经适当地布置了子网,那么引导入站流量所需的静态路由应该非常简单.

3a.)尽量使VPN网络与其他入站服务分开.就安全监控,故障排除,会计等而言,这将使事情变得更容易.

4.)如果没有通过多个操作符整合您的Internet连接和/或路由单个子网(读取:BGP),您需要在边界路由器之前使用中间跃点才能正确地重定向入站和出站流量(如我怀疑你现在正在做的事情).这似乎比VLAN更令人头痛,但我认为这都是相对的.

相关文章

/etc/sysctl.conf这个目录主要是配置一些系统信息,/etc/sys...
1.作用 useradd或adduser命令用来建立用户帐号和创建用户的起...
它们都是多模式编辑器,不同的是vim 是vi的升级版本,它不仅...
不管是我们在安装软件还是监测软件的使用性能,我们都要随时...
装好Tomcat7后,发现除了本机能访问外界访问不了,岂有此理。...
修改防火墙配置需要修改 /etc/sysconfig/iptables 这个文件,...