Моя текущая настройка:
Кабельный модем выдает 13 статических IP-адресов (/ 28), коммутатор GB подключен к кабельному модему и имеет доступ к этим 13 статическим IP-адресам, у меня сейчас используется около 6 «серверов».
Кабельный модем также является брандмауэром, DHCP-сервером и 3-портовым коммутатором 10/100. Я использую его в качестве брандмауэра, но не в настоящее время в качестве сервера DHCP.
Я подключил к кабельному модему два сетевых кабеля, один из которых подключается к порту WAN двухдиапазонного беспроводного маршрутизатора / коммутатора Linksys Wireless 10/100/1000. В Linksys есть несколько рабочих станций, несколько принтеров и некоторые ноутбуки, подключенные к Wi-Fi. Я настроил Linksys на использование статического IP-адреса и включил DHCP для рабочих станций, принтеров и т. Д. В 192.168.1.1/24. Сеть для Linksys в основном автономна, резервные копии отправляются в SAN, в этой сети все происходит через этот коммутатор, через ГБ. Но я также получаю доступ к Интернету через него через кабельный модем, используя один статический IP.
Это все работает, однако я не могу "видеть" статические IP-машины, когда я нахожусь на Linksys. Я могу получить к ним через ssh и другие протоколы, и если я хочу "снаружи", я открываю дыры, как 80, 25, 587, 143, 22 и т. Д.
Второй провод от кабельного модема / fireall / коммутатора просто соединяется с управляемым коммутатором GB.
Каковы плюсы и минусы этого? Я не люблю отказываться от статического IP-адреса для Linksys. У меня в основном смешанная сеть публичных серверов и внутренних рабочих станций. Мне нужны общедоступные серверы на общедоступных IP-адресах, потому что я не хочу связываться с переадресацией портов и сопоставлениями.
Также правильно, что, если кто-то нарушит Wi-Fi Linksys, ему все равно будет трудно добраться до статического диапазона IP-адресов, просто в силу топологии сети?
Сегодня, просто для проверки, я включил DHCP в брандмауэре / кабельном модеме в диапазоне 10.1.10.1/24, а Linksys - в диапазоне 192.168.1.100/24. На тот момент все статические IP-машины все еще имели входящий и исходящий доступ, но Linksys был недоступен.
Кабельный модем имеет только 10/100 портов, поэтому я не буду подключать к нему ничего, кроме подключения к сети, которое составляет 50 МБ / 10 МБ. Это заставляет меня думать, что это может быть далеко не идеально, так как передача из сети рабочей станции в сеть сервера будет узким местом на 100 МБ, когда у меня будет 1000 МБ. Возможно, мне не нужно решать это, если изоляция лучше. Я не перемещаю большое количество данных, если таковые имеются, из сети Linsys в сеть сервера, поэтому делать вид, что он удаленный, вполне нормально.
Должен ли я подойти к этому как-то иначе?
Я мог бы включить DHCP на кабельном модеме / брандмауэре, он все равно должен посылать статику на коммутатор GB, но будет ли также DHCP в диапазоне 10.1.10.1/24? Затем я могу подключить Linksys к коммутатору GB, который теперь выбирает статику и диапазоны 10.1.10.1/24, и сказать Linksys использовать 10.1.10.5 или около того.
Теперь я должен отключить DHCP на Linksys, и кабельный модем / брандмауэр также пройдет через статические диапазоны и диапазоны 10.0.10.1/24? Или я могу открыть второй пул DHCP на Linksys? Я полагаю, что это снова дает мне изоляцию сети, но это прямо противоположно тому, что я имею сейчас. Но я выхожу из узкого места, не то, чтобы Linksys мог когда-либо действительно ощутить реальные скорости ГБ, но управляемый коммутатор, безусловно, может.
Это все потому, что 13 статик не так много. Прямо сейчас, 6 «серверов», Linksys, управляемый коммутатор, несколько сертификатов SSL, и у меня заканчивается. Я не хочу тратить статический IP-адрес на управляемом коммутаторе GB или Linksys, если только он не дает мне какую-то выгоду.
Последний вопрос, при моей текущей настройке, если я нахожусь на рабочей станции, сидящей по адресу 192.168.1.109, Linksys, с ГБ, и я посылаю файл через ssh на статический IP-компьютер, это то, что буквально выход из интернета и возвращение в, или он остается локальным? Мне кажется, что
Workstation (192.168.1.109) -> Linksys DHCP -> Linksys Static IP -> Cable Modem -> Server ( and it hits the 10/100 ports on the cable modem, slowing me down. But does it round trip the network, leave and come back in, limiting me to the 50/10 internet speeds?
* Все это вымышленные номера, я не использую IP-адреса маршрутизатора по умолчанию, так как однажды добавлю VPN и не хочу коллизий.
Мне нужны рекомендации, хочу ли я одну большую сеть или две изолированные. Принтеры в наши дни нуждаются в IP, все делает, я не могу заставить autoconf / bonjour быть надежным на большинстве принтеров. но я также не уверен, что хочу, чтобы сторона сервера моей работы была загрязнена стороной моей работы.
Если только у меня нет магических побуждений, я еще не научился, вот что я думаю:
Cable modem 10/100, has 13 static IP, publicly accessible ->
Enable DHCP on the cable modem ->
Cable modem plugs into managed switch ->
Managed switch gets 10.1.10.1 ssh, telnet, https admin management address ->
Managed switch sends static IP's to to servers ->
Plug Linksys into managed switch, giving it 10.1.10.2 static internally in Linksys admin ->
Linksys gets assigned 10.1.10.x as its DHCP sending range ->
Local printers, workstations, iPhones etc, connect to this ->
( Do I enable DHCP or disable it on the Linksys, just define a non over lapping range, or create an entirely new DHCP at 10.1.50.0/24, I think I am back isolated again with that method too? )
Спасибо за любые предложения. Это первый раз, когда мне приходится иметь дело с менее чем / 24, и большинство из них больше, но это всего лишь капля в кабинет. В противном случае это маршрутизатор, несколько ретрансляторов и другие простые вещи с одним IP. Я знаю, что некоторые могут предложить использовать все DHCP на серверах, и я могу однажды, но не сейчас, было слишком много движения, чтобы заинтересоваться этим, и я хотел бы, чтобы что-то из серии Catalyst имело дело с этим.
источник