Kann ich ein Subnetz subnetzieren?

8

Entschuldigung im Voraus für die verpfuschte Terminologie. Ich habe das Server Fault Subnet Wiki gelesen, aber dies ist eher eine ISP-Frage.

Ich habe derzeit einen / 27-Block öffentlicher IPs. Ich gebe meinem Router die erste Adresse in diesem Pool und verwende dann 1-zu-1-NAT für alle Server hinter der Firewall, damit jeder seine eigene öffentliche IP erhält.

Der Router / die Firewall verwendet derzeit (tatsächliche Adressen wurden entfernt, um die Schuldigen zu schützen):

IP Address:  XXX.XXX.XXX.164
Subnet mask: 255.255.255.224
Gateway:     XXX.XXX.XXX.161

Ich möchte mein Subnetz in zwei separate / 28 Subnetze aufteilen. Und tun Sie dies auf eine Weise, die für den ISP transparent ist (dh sie sehen mich weiterhin als Single / 27).

Derzeit sieht meine Topologie folgendermaßen aus:

     ISP
      |
[Router/Firewall]
      |
  [Managed Ethernet Switch]
  /       \         \
[Server1] [Server2] [Server3] (etc)

Stattdessen möchte ich, dass es so aussieht:

       ISP
        |
    [Switch]
    /      \
[Router1] [Router2]
  |    |    |   |
[S1] [S2] [S3] [S4] (etc)

Wie Sie sehen können, würde mich dies in zwei separate Netzwerke aufteilen.

Ich habe Probleme mit den richtigen IP-Einstellungen für Router1 und Router2.

Folgendes habe ich gerade:

              Router1              Router2
IP Address:   XXX.XXX.XXX.164      XXX.XXX.XXX.180
Subnet mask:  255.255.255.240      255.255.255.240
Gateway:      XXX.XXX.XXX.161      XXX.XXX.XXX.161

Beachten Sie, dass Sie normalerweise erwarten würden, dass Router2 ein Gateway von .177 hat, aber ich versuche, beide dazu zu bringen, das Gateway zu verwenden, das mir ursprünglich vom ISP gegeben wurde.

Ist ein solches Subnetz tatsächlich möglich oder verpfusche ich die grundlegendsten Konzepte vollständig?

- -

Bearbeiten

Mehrere Leute haben "Warum" gefragt. Es gibt einige spezifische Gründe, warum ich dies tun möchte:

  1. Mein Router / meine Firewall stürzt alle 6-8 Wochen ab. Ich habe eine ganze Reihe von Geräten durchlaufen : NetGear FVS318 , Linksys RV042 , Watchguard Firebox Edge X20e und Cisco ASA 5505 . Dasselbe ist bei allen Geräten passiert, und es liegt anscheinend an den rund einem Dutzend IPSec-VPN-Tunneln, die das Gerät verwaltet. Immer wenn es abstürzt, muss ein Netzwerktechniker das Gerät physisch aus- und wieder einschalten.

  2. Ich habe einen großen Client und ungefähr die Hälfte der Server im Schrank gehören ihnen. Ich möchte, dass dieser Client die Firewall- und VPN-Regeln selbst verwalten kann, anstatt mich zu durchlaufen. Auf diese Weise würde ich ihnen Root-Zugriff auf Router2 gewähren und sie könnten alles selbst verwalten, ohne Router1 Probleme zu bereiten.

networking  ip  subnet 
Portman
quelle
1
Nur aus Neugier, was ist Ihre Motivation für dieses Setup? Warum brauchen Sie zwei Router?
Zoredache
Warum ist eine gute Frage? Vielleicht, um NAT'ing loszuwerden?
Dbasnett

Antworten:

2

Wenn Sie kein NAT verwenden, dh wenn Sie tatsächlich Routing durchführen und echte Server auf diese IP-Adresse setzen möchten, können Sie Ihr Netzwerk nicht auf eine Weise subnetzieren, die für Ihren Anbieter transparent ist. Sie müssen ihre Routerkonfiguration und ihre Routing-Tabellen ändern, um Ihr neues Netzwerk-Setup zu berücksichtigen. Möglicherweise erhalten Sie zwei Gateway-Adressen und / oder zwei Router (oder indem Sie eine neue Route einrichten, wenn Sie ein Subnetz "hinter" das andere und setzen Ihre Firewall in der Mitte).

Wenn Sie jedoch weiterhin NAT verwenden und einfach die Hälfte der Adressen an eine Firewall und die Hälfte an eine andere Firewall weitergeben, werden ihre externen IP-Adressen Ihrem ISP als immer noch zu einem einzelnen Subnetz gehörend angezeigt, und alles funktioniert weiterhin einwandfrei.

Massimo
quelle
Warum sollte das so sein? Aus Sicht des ISP hat sich nichts geändert. xxx160 - .191 befinden sich immer noch am selben Port. Das OP muss wahrscheinlich drei Router anstelle eines Switches und zwei Router haben, aber der ISP muss nichts tun.
Dbasnett
1
Wenn der Router des Internetdienstanbieters, der das Gateway für dieses Subnetz ist, eine IP-Konfiguration von XXX.XXX.XXX.161 / 224 hat, können nur Hosts in diesem Subnetz mit ihm kommunizieren. Wenn Sie es in zwei Subnetze aufteilen, kann eines von ihnen überhaupt nicht mit dem Router kommunizieren. Der Router benötigt zwei IPs mit jeweils einer / 240-Subnetzmaske, damit alles funktioniert.
Massimo
Ich ging davon aus, dass sich die Verbindung zum ISP in einem anderen Netz befindet als das / 27, von dem das OP spricht, da das OP bereits über einen Router / eine Firewall verfügt.
Dbasnett
Dieser ISP RTR xxx157 ----- xxx158 USER RTR xxx160 / 27
dbasnett
oder ISP RTR xxx161 ----- xxx162 USER SW xxx163 - 191
dbasnett
3

Das sieht alles vollkommen richtig aus. Beachten Sie, dass die Server die .240-Netzmaske und entweder .164 oder .180 als Gateway verwenden. Sind Sie jedoch sicher, dass Sie zwei IPs für das Subnetz verschwenden möchten? Sie müssen .160 und .176 als Netzwerkadressen und .175 und .191 als Broadcast-Adressen reservieren. Wenn Sie kein Subnetz haben, müssen Sie dies nicht tun, sodass .175 und .176 Hosts sein können.

Andrew McGregor
quelle
1 
       ISP
        |
        |
        | assumes that this link is not part
        | of x.x.x.160 /27
        |
        |
    [Router]  This router will need three routed ports
   /.161   \ .177
  /         \
 [Switch] [Switch]
  |    |    |   |
[S1] [S2] [S3] [S4] (etc)
dbasnett
quelle
Die Verbindung vom ISP zum Router ist Teil von XXX160 / 27 - das ist die öffentliche IP, wie sie vom ISP bereitgestellt wird.
Portman
@Portman - Ich bin dann durch diese Aussage im OP verwirrt "Ich gebe meinem Router die erste Adresse in diesem Pool ...". Welche Adressen verwendet der ISP?
Dbasnett
Was bedeutet "setzt voraus, dass dieser Link nicht Teil von xxx160 / 27 ist"?
Draemon
damit das Bild korrekt ist. wie Sie sehen, war das nicht richtig.
Dbasnett
1

Es macht für Ihren ISP keinen Unterschied, wenn Sie diesen / 27-Block in kleinere Blöcke aufteilen. Aus ihrer Sicht wissen sie nur, dass sie diesen / 27-Block an die externe Schnittstelle Ihres Routers liefern müssen.

Sie benötigen einen Router mit drei separaten Schnittstellen (ein WAN, zwei LAN) oder einen Router, der mehrere Bereiche auf seinen Schnittstellen unterstützen kann.

Sie können den Block dann in zwei separate Blöcke xxx160 / 28 und xxx176 / 28 aufteilen

In Ihrem Beispiel hatten Sie jedoch falsche Standardgateways. Jeder dieser Blöcke verfügt über ein eigenes Standard-Gateway, da jeder der neuen / 28-Blöcke auf einer Schnittstelle des Routers eingerichtet werden muss und jede IP-Adresse auf dieser Schnittstelle das Gateway für den Rest des Blocks ist.

Lloyd Baker
quelle
0

Ja, Sie sollten in der Lage sein, Ihren cxx160 / 27 in xxx160 / 28 und xxx176 / 28 aufzuteilen. Möglicherweise müssen Sie Ihren Router2 dazu bringen, Router1 als nächsten Hop zu verwenden, möglicherweise indem Sie eine Punkt-zu-Punkt-Verbindung zwischen ihnen herstellen und eine / 30 aus einem privaten Bereich als Verbindung verwenden.

Wenn Sie die / 27 in zwei / 28s aufteilen, erhalten Sie weniger verwendbare IP-Adressen.

Wenn Sie uns mitteilen können, warum Sie es auflösen möchten, gibt es möglicherweise eine andere Option, um das zu erreichen, was Sie tun möchten.

Vatine
quelle
0

Verwenden einer fiktiven Adresse mit der Endung .160 

Network*          Net Broadcast     CIDR Mask              UsableHosts 
192.168.254.160   192.168.254.175   28   255.255.255.240   14          REQ 14  
192.168.254.176   192.168.254.191   28   255.255.255.240   14          REQ 14

* Von meinem Subnetzrechner / Planer

dbasnett
quelle
.164 mit a / 28 gehört zu .160 / 28. Ich gehe davon aus, dass Sie diese Adresse nur als Teil des Netzwerks verwendet haben. In meinem Beispiel können Sie Adressen zwischen Netzwerk und Net Broadcast verwenden.
Dbasnett
-1

Wenn Sie dies tun können, müssen Sie es in / 27 schaffen, was bedeutet, dass 30 Hosts (plus 2 Netzwerk und Broadcast) Ihr Netzwerk 192.168.254.161 - 192.168.254.190 (ich meine Hosts) mit 255.255.255.224 sein wird

N3kos
quelle
Durch die Nutzung unserer Website bestätigen Sie, dass Sie unsere Cookie-Richtlinie und Datenschutzrichtlinie gelesen und verstanden haben.
Licensed under cc by-sa 3.0 with attribution required.