web-dev-qa-db-ja.com

サブネットをサブネット化できますか?

用語の誤りについて事前にお詫び申し上げます。 Server Fault Subnet Wiki を読みましたが、これはISPの質問です。

現在、パブリックIPの/ 27ブロックがあります。私はルーターにこのプールの最初のアドレスを与えてから、ファイアウォールの背後にあるすべてのサーバーに1対1 NATを使用して、それぞれが独自のパブリックIPを取得するようにします。

ルーター/ファイアウォールは現在使用しています(有罪を保護するために実際のアドレスは削除されています):

IP Address:  XXX.XXX.XXX.164
Subnet mask: 255.255.255.224
Gateway:     XXX.XXX.XXX.161

私がやりたいのは、サブネットを2つの別々の/ 28サブネットに分割することです。そして、これをISPに対して透過的な方法で行います(つまり、彼らは私が単一の/ 27を運用し続けていると見なします)。

現在、私のトポロジは次のようになっています。

     ISP
      |
[Router/Firewall]
      |
  [Managed Ethernet Switch]
  /       \         \
[Server1] [Server2] [Server3] (etc)

代わりに、次のようにしたいと思います。

       ISP
        |
    [Switch]
    /      \
[Router1] [Router2]
  |    |    |   |
[S1] [S2] [S3] [S4] (etc)

ご覧のとおり、これにより、私は2つの別々のネットワークに分割されます。

Router1とRouter2の正しいIP設定がどうなるか悩んでいます。

これが私が今持っているものです:

              Router1              Router2
IP Address:   XXX.XXX.XXX.164      XXX.XXX.XXX.180
Subnet mask:  255.255.255.240      255.255.255.240
Gateway:      XXX.XXX.XXX.161      XXX.XXX.XXX.161

通常、Router2には.177のゲートウェイがあると予想されますが、私は両方にISPから最初に提供されたゲートウェイを使用させようとしています。

このようなサブネット化は実際に可能ですか、それとも最も基本的な概念を完全に台無しにしていますか?

-

編集

何人かの人々が「なぜ」と尋ねました。私がこれをしたい理由はいくつかあります。

  1. 私のルーター/ファイアウォールは6〜8週間ごとにロックされます。私は一連のデバイスを経験しました: NetGear FVS318Linksys RV042Watchguard Firebox Edge X20e 、および Cisco ASA 5505 。同じことがすべてのデバイスで発生しました。これは、デバイスが管理するIPSecVPNトンネルが12個ほどあるためと思われます。それがロックするときはいつでも、ネットワークエンジニアはデバイスを物理的にパワーサイクルする必要があります。

  2. 私は1つの大きなクライアントを持っており、キャビネット内のサーバーの約1/2が彼らのものです。そのクライアントが私を経由するのではなく、ファイアウォールとVPNルールを自分で管理できるようにしたいと思います。このように、私は彼らにRouter2へのルートアクセスを与え、彼らはRouter1に問題を引き起こすことなくすべてを自分で管理することができました。

networkingipsubnet
8
Portman

NATを使用していない場合、つまり実際にルーティングを実行してそれらのIPアドレスに実サーバーを配置する場合は、プロバイダーに対して透過的な方法でネットワークをサブネット化することはできません。新しいネットワーク設定を考慮して、ルーター構成とルーティングテーブルを変更する必要があります。これにより、2つのゲートウェイアドレスや2つのルーターが提供される可能性があります(または、一方のサブネットをもう一方のサブネットの「後ろ」に配置する場合は、新しいルートを設定します。真ん中にファイアウォール)。

ただし、NATを使用し続け、アドレスの半分をファイアウォールに、残りの半分を別のファイアウォールに渡すと、それらの外部IPはISPにはまだ単一のサブネットに属しているように見えます。そして、すべてが正常に機能し続けます。

2
Massimo

それはすべて完全に正しいように見えます。サーバーは.240ネットマスクと.164または.180のいずれかをゲートウェイとして使用することに注意してください。ただし、サブネット化で2つのIPを無駄にしますか?ネットワークアドレスとして.160と.176を予約し、ブロードキャストアドレスとして.175と.191を予約する必要があります。サブネット化しない場合は、これを行う必要がないため、.175と.176をホストにすることができます。

3
Andrew McGregor

その/ 27ブロックをより小さなブロックに分割しても、ISPには何の違いもありません。彼らが知っているのは、その/ 27ブロックをルーターの外部インターフェイスに配信する必要があるということだけです。

3つの個別のインターフェイス(1つのWAN、2つのLAN)を備えたルーター、またはそのインターフェイスで複数の範囲をサポートできるルーターが必要になります。

次に、ブロックを2つの別々のブロックx.x.x.160/28とx.x.x.176/28に分割できます。

ただし、この例では、デフォルトゲートウェイが間違っていました。新しい/ 28ブロックのそれぞれをルーターのインターフェースに設定する必要があり、そのインターフェースに設定されているIPが残りのブロックのゲートウェイになるため、これらの各ブロックには独自のデフォルトゲートウェイがあります。

1
Lloyd Baker
       ISP
        |
        |
        | assumes that this link is not part
        | of x.x.x.160 /27
        |
        |
    [Router]  This router will need three routed ports
   /.161   \ .177
  /         \
 [Switch] [Switch]
  |    |    |   |
[S1] [S2] [S3] [S4] (etc)
1
dbasnett

はい、c.x.x.160/27を取得して、x.x.x.160/28とx.x.x.176/28に分割できるはずです。おそらくそれらの間にポイントツーポイントリンクを持ち、リンクとしてプライベート範囲外の/ 30を使用することにより、Router2にRouter1をネクストホップとして使用させる必要がある場合があります。

また、/ 27を2つの/ 28に分割すると、使用可能なIPアドレスが少なくなります。

なぜそれを分割したいのかを教えていただければ、やりたいことを達成するための別のオプションがあるかもしれません。

0
Vatine

.160で終わる架空のアドレスを使用する

Network*          Net Broadcast     CIDR Mask              UsableHosts 
192.168.254.160   192.168.254.175   28   255.255.255.240   14          REQ 14  
192.168.254.176   192.168.254.191   28   255.255.255.240   14          REQ 14

*私の サブネット計算機/プランナーから

0
dbasnett