ISPは、自宅または会社に単一のケーブル接続で2つの静的IPを提供して、同時に使用できるようにすることはできますか?もしそうなら、誰かがこれがどのように機能するかを理解するために私を正しい方向に向けることができますか?
ルーターはトラフィックの方向付けにおいて極めて重要であると理解していますが、セキュリティの問題として、2つのデータストリームを完全に分離するにはどうすればよいですか?
たとえば、家主はどのように完全に独立したIPをテナントに提供しますか?
それは確かに可能ですが、それはそれらがあなたに提供するモデム/ルーターのタイプに依存します。私のISPが提供するモデムは1つのクライアントしか許可しないため、一度に1つだけWAN IPであり、独自のルーターを購入する必要があります。
多くのISPは、それをサポートできるハードウェアとサービスを提供しています。
ほとんどのISPは複数のWAN企業向けのIPしか提供していませんが、お住まいの地域の消費者が利用できるかどうかをお知らせいただければ、喜んでお知らせいたします。
ISPは、自宅または会社に1つのケーブル接続で2つの静的IPを提供して、同時に使用できるようにすることはできますか?
うん。これは、住宅口座よりもビジネス口座のほうが大幅に高くなります。これをサポートするモデムが必要です。ISP提供のハードウェアが常に機能するにもかかわらず、特定のハードウェアが機能するかどうかはわかりません。
ルーターはトラフィックの方向付けにおいて極めて重要であると理解していますが、セキュリティの問題として、2つのデータストリームを完全に分離するにはどうすればよいですか?
あなたが別々に何を意味するかに依存します。
完全に物理的に分離していることを意味する場合、1 WANインターフェースと2つのLANインターフェースがあり、トラフィックの宛先IPを調べ、トラフィックを別のLANインターフェースに転送するルーターが必要です。宛先IP。
Linuxとiptables
を実行している3つのネットワークカードを備えたPCを使用している場合、これは完全に可能です。私はこれをネイティブで行うComcastや他のサードパーティのハードウェアについては確信がありませんが、それがそこにある/彼らが提供していると確信しています。
LANインターフェースとネットワークの他の部分がVLANをサポートしている場合、ルーター上の単一の物理LANインターフェースでほぼ同じことを実現できます。
たとえば、家主はどのようにして完全に独立したIPをテナントに提供しますか?
ワイヤレスハードウェア(コンシューマレベルのワイヤレスハードウェアも含む)には、通常、クライアントがネットワーク上でお互いを見ることを防ぐ "AP分離"モードがあります。ビジネスクラスのスイッチングハードウェアを使用すると、これを行うことができます。通常の4ポートまたは8ポートの非管理対象スイッチには、この機能はありません。 1つの解決策は、各スイッチポートを独自のVLANに割り当てて、完全に分離することです。
また、家主が何をしているのかわからず、実際にすべてのテナントをプライベートサブネットに配置し、実際にお互いに到達できる可能性もあります。
この問題には複数の解決策があります。 「最もエレガント」なものは比較的無駄ですが、非常に一般的であり、9つのIPアドレスを使用して実行します。これは、ほとんどの専門ISPが処理する方法です。
ルーターのIPアドレスを取得します(ほとんどの通常のアカウントと同じ)-このIPアドレスはWANルーターのインターフェイスに関連付けられています。[に同意した場合、ここでRFC1918 IPを使用できますISP、しかしこれはおそらくきちんとしたシステムのために物事を詰め込みます]
次に、ISPに「/ 29」を要求します。これは、8つのIPアドレスのブロックを要求していることを意味します(ルーティングプロトコルに関連付けられた2つの使用できないアドレスを含む-ビットを単純化-ブロックの最初と最後のIPアドレスは「使用不可」と見なされます)。次に、ISPはこれらのIPアドレスを1つのブロックとしてルーターにルーティングします。アカウンティングとルーティングテーブルが簡素化され、非常に標準的であるため、彼らはこれを行うのが好きです。
次に、この8つのIPのブロックを4つのIPの2つのブロックにさらに分割します。これにより、2つの使用可能なアドレスの2つのブロックが提供されます。 2つの使用可能なアドレスの1つをルーターの各インターフェイス/ vlanにバインドし、他のIPアドレスをクライアントに提供します。
したがって、次のようなものがある可能性があります。
ISP (1.1.2.254) -----> (1.1.2.253) router (1.1.1.1) ------ 1.1.1.2 (PC on network 1)
|
+-- (1.1.1.5) ----- 1.1.1.6 (PC on network 2)
上記の例では、ISPがルーター1.1.2.253を割り当てています。ルーター(3つのインターフェース/仮想インターフェースが必要)には、デフォルトネットワークが1.1.2.254を指すように設定されているため、不明なトラフィックがISPに送信されます。
ルーター上最初のLANポートは、ネットマスクが255.255.255.252の1.1.1.1として構成されています。2番目のLANポートは、ネットマスクが255.255.255.252の1.1.1.5として構成されています。
最初のPCは、IP 1.1.1.2、ネットマスク255.255.255.252、およびデフォルトゲートウェイ1.1.1.1で構成されています。
2番目のPCは、IP 1.1.1.6、ネットマスク255.255.255.252、およびデフォルトゲートウェイ1.1.1.5で構成されています。
IPの1.1.1.0および1.1.1.4は「ネットワーク」IPと呼ばれ、トラフィックには使用されません。 IP 1.1.1.3および1.1.1.7は「ブロードキャスト」IPと呼ばれ、トラフィックには使用されません。ルーターには、LANインターフェースに2つのIPが必要です。
代替の、類似しているがあまり洗練されていない方法は、ISPに接続全体で/ 30をルーティングさせることです。これには、ネットワークに合計5つのIPが必要であり、2つが無駄になります。各LANインターフェースにプライベートIP(192.168.1.xなど)を使用し、次にNAT=を使用してこれらを実際のプロバイダーに変換する必要があります。
IPSの使用のために私を撃ち落としたい人のために-最初にネットワークプロフェッショナルに確認してください-ほとんどの "ポイントツーポイント"接続は、上記。
これが最も簡単な方法です。ルーターの1つの着信インターフェイスに複数のIPアドレスを割り当て、natを使用してトラフィックを分離します。 ispが彼らの端で何をするかは彼ら次第です。あなたはあなたの終わりを心配する必要があるだけです
したがって、最初のIPの宛先アドレスを持つ着信インターフェイスを介して着信するトラフィックはすべて、natを使用してネットワーク内の特定のlanアドレスに変換します。あなたは2番目のIPを同じ方法で別のLANアドレスに変換します
これにより、リバースプロキシやDNSサーバーを使用せずに、たとえば1つのネットワーク内に2つ以上のWebサーバーを配置できます。どちらのWebサーバーもポート80を使用するため、Webアドレスの末尾にポート番号を指定せずに、外部からネットワーク内部にアクセスする方法が異なります。これは非常に非効率的です
もちろん、1つのインターフェースに2つ以上のアドレスを持つことには、他にも利点があるため、これはそのうちの1つにすぎません。