W jaki sposób wiele serwerów WWW i adresów IP w tej samej sieci fizycznej

6

Zajmuję się tworzeniem stron internetowych w małym biurze i potrzebuję wielu fizycznych i wirtualnych serwerów, do których można uzyskać dostęp z Internetu. Mam również szereg urządzeń (komputerów, laptopów, tabletów, drukarek itp.), Które również potrzebują połączeń. Dostałem podsieć 8 adresów IP od mojego dostawcy usług internetowych i chociaż jest to wystarczające dla serwerów internetowych, jest zdecydowanie za małe na wszystko, co wymaga dostępu do sieci.

Mój router to ASUS RT-N16 z DD-WRT. Jestem wystarczająco sprytny w tym temacie, aby być niebezpiecznym, pomyśl 2-latek z magicznym markerem. Chciałbym zachować NAT mojej sieci wewnętrznej w sieci 192.168.xx i kierować ruch 68.69.xx 255.255.255.248 bezpośrednio do serwerów. Fizyczna sieć składa się z 4-portowego routera DD-WRT i niezarządzanego przełącznika gig. Mam połączenie światłowodowe z biurem, które działa jak port Ethernet. Innymi słowy, mogę podłączyć laptopa bezpośrednio do niego i mieć dostęp do Internetu. Nie ma loginu ani hasła, a router jest skonfigurowany tak, aby pobierał DHCP od dostawcy usług internetowych i zapewniał adresy DHCP dla sieci wewnętrznej.

Do tej pory zrobiłem Google i wypróbowałem różne konfiguracje z niewielkim sukcesem. W końcu zdecydowałem, że nawet nie wiem, jak zadawać potrzebne pytania.

Moje pytania to:

  1. Czy to najlepszy sposób na konfigurację sieci?

  2. Jak ty to robisz? Sieci VLAN? Wiele routerów?

Nigdy nie musiałem konfigurować routera przy użyciu niczego innego niż GUI, więc jeśli jest to wiersz poleceń, bądź łagodny.

networking router dd-wrt jsigned
źródło
Twój dostawca usług internetowych prawie na pewno oczekuje, że statycznie przypiszesz drugi adres IP z tego zakresu do interfejsu po stronie WAN routera. Pierwszym adresem będzie adres bramy dostawcy usług internetowych. W przypadku pozostałych sześciu adresów oczekują, że skonfigurujesz NAT na swoim routerze.
Zoredache
To, co mówisz, ma sens, ale nie wiem, jak to zrobić. W celu uzyskania dalszych informacji dostawca usług internetowych podał mi jeden statyczny adres IP wskazujący router i może być używany do przekierowywania portów oraz sieci xx.xx.xx.16, bramy xx.xx.xx.17, xx.xx.xx .18-22 użyteczny, transmisja xx.xx.xx.23, 255.255.255.248 maska ​​podsieci.
podpisano

Odpowiedzi:

1

Przede wszystkim pytanie to miałoby lepszą odpowiedź na Serverfault.com, ponieważ jest skierowane do środowisk biznesowych, a nie do pytań typu service-desk dla pojedynczego użytkownika. Chociaż niektórzy mają to przedyskutować. Możesz też znaleźć konsultanta ds. Inżyniera sieci, który zaprojektuje to dla Ciebie, lub całą masę czytania na temat natting IP i routingu vlan.

Możesz to zrobić na kilka różnych sposobów, w zależności od budżetu, ale szukałbym rozwiązania cisco, które zapewni routowalne sieci vlan i IP NAT (Network Address Translation). W tym scenariuszu miałbyś kilka sieci Vlans działających na przełączniku Cisco (można użyć przełącznika warstwy 2 i sprawić, by router prowadził trasy do sieci vlan lub warstwy 3 do siebie wszystkich) oraz router Cisco dbający o NAT dla wszystkich zewnętrznych adresów IP na twoje wewnętrzne adresy i Vlany. Podczas konfigurowania natting IP na routerach CIsco ograniczasz dostęp, konfigurując acls i kierujesz do vlan za pomocą tagowania dot1q.

Oto przykładowy projekt miałby:

1-2 Publiczny adres IP przypisany do prywatnych adresów IP Vlan 2 (laptopy, tablety itp.) 1-2 Publiczny adres IP powiązany z fazą vlan 3 (środowisko testowe) 2-6 Publiczny adres IP powiązany z serwerami sieciowymi vlan 4

Powodzenia..

onxx
źródło
Szybka kontynuacja: Zastanów się również, jak wpłynie to na adresy IP twojej sieci, gdy dostawca wprowadzi IPv6.
onxx
0

Przypisz jeden adres statyczny do bramy, NAT i wszystko inne i uruchom każdy serwer WWW na innym porcie. Skonfiguruj router, aby przekazywał odpowiednie porty (80) na lokalny adres IP każdego serwera.

Skandalist
źródło
Od dłuższego czasu korzystam z przekierowania portów. Dopóki jest tylko jedno urządzenie fizyczne / wirtualne, działa dobrze. Ale lubię dawać moim klientom złudzenie, że wiem, co robię. Powiedzenie im, aby udali się na stronę ich_mieszania_strony.com: 6666, nie pomaga <lol> Prawda jest taka, że ​​jeden klient chce korzystać z serwera Windows, inny ma przestarzały kod, który nie będzie działał na poprawionym hoście, a ja mam swoje serwery. Wiele adresów IP to droga. Jeśli mogę wymyślić, jak to zrobić.
podpisano
tak, jak to działa, gdy site1.com jest utrzymywana na server1 i witryna2 jest utrzymywana na server2. Zarówno witryna1, jak i witryna2 będą korzystać z portu 80. Część tego, co robię, to hostowanie stron internetowych dla klientów, co zrozumiałe, nie będą chcieli reklamować swojej witryny z przypisanym portem.
podpisano
Tak, powyższa konfiguracja wymaga wpisania dwukropka z numerem portu dołączonym do adresu URL - co, jak powiedziałeś, jest niepożądane dla większości. Jest sposób na to, aby działał, ale wymaga wewnętrznego serwera proxy do akceptowania żądań HTTP i lokalnego serwera DNS, który może zapytać o wewnętrzne rozwiązanie serwerów WWW. Sprawdź ten artykuł. jansipke.nl/multiple-webservers-behind-one-ip-address
Scandalist
0

Myślę, że ten problem stanowi problem na znacznie wyższym poziomie, być może w warstwie aplikacji - niż w routingu. Aby wiele serwerów działało wewnętrznie na tym samym zewnętrznym adresie i porcie, pomiędzy nimi musi znajdować się urządzenie, które rozpoznaje żądania HTTP wyższego poziomu. To urządzenie miałoby również możliwość analizowania domeny ze struktury adresu URL i jednoczesnego wysyłania zapytań do wewnętrznych serwerów DNS w celu uzyskania odpowiedniej rozdzielczości. Odwrotne proxy AKA .

Zasadniczo zewnętrzne żądania DNS są wysyłane do wewnętrznych serwerów DNS w sieci. Gdy tak się stanie, przeglądarki wyślą żądania HTTP przez bramę NAT, aby zostać przechwycone przez serwer odwrotnego proxy, który następnie analizuje domenę z nagłówków, rozwiązuje powiązane nazwy wewnętrznie i przekazuje żądanie do właściwego serwera.

Skandalist
źródło
ma 6 publicznych adresów IP do użycia.
Segfault
0

Biorąc pod uwagę to, co tu widzę, jest kilka rzeczy:

  • Przekaż statyczny adres IP portu 80 na te serwery, które nie są wystarczająco rozbudowane, aby to uzasadnić.
  • W przypadku losowego dostępu do urządzenia wewnętrznego dowolny ze statycznych adresów IP może być użyty jako adres IP wyjścia NAT. Najlepiej jest zarezerwować jeden adres IP tylko z tego powodu ze względu na reputację adresu IP, ale mając tylko 6 użytecznych adresów IP do pracy, może to nie być rozsądne.
  • W przypadku specjalnych płatków śniegu możesz uzyskać dość kreatywną konfigurację HAProxy . Możesz skonfigurować reguły oparte na nazwie serwera (przy założeniu, że nie jest zaangażowany protokół SSL), które następnie kierują do skonfigurowanych serwerów zaplecza na podstawie tej nazwy. Trochę jak vhosty, ale obsługiwane na poziomie proxy, a nie samego serwera WWW.

Uwaga dodatkowa: właśnie dlatego IPv6 jest przyszłością , tego rodzaju problem znika. Ale to ci teraz nie pomaga (chyba że twoi klienci mają wsparcie dla wersji 6).

Twoja konfiguracja wygląda całkiem normalnie jak na małe biuro.

SysAdmin1138
źródło