如何从 ISP 拆分静态 IP 以单独使用?

网络工程 思科 转变
2022-02-09 22:06:53

我有很多 IT 经验/咨询,但想与网络领域的一些真正专家测试我所做的事情,以便我可以继续学习并做最好的事情。

我有分配了 5 个可用静态 IP 的 ISP。为了拆分它们以便我可以在特定使用场景中使用单独的 IP,我只需从 ISP 调制解调器插入一个小型 Netgear 托管交换机,确保端口运行双工并尽可能高,然后从 Netgear 插入在我的主 SonicWall 中配置一个 IP,另外两个路由器用于其他工作等。

这是拆分 IP 的正确/最佳性能方式吗?我问是因为这种方法似乎可以正常工作,但是对于我已经设置的网关到网关 VPN(一个办公室有 100Mbs 光纤上/下,另一边是 50MBs 上/下),我发现性能甚至有点令人失望对于站点之间的简单文件复制(不能超过 10MB,然后它似乎饱和了带宽,或者路由器的 CPU 能力,不知道......)。我担心这种方法有些不对称。VPN 的路由器是 Cisco RV042G 和 Cisco RV320,坦率地说,我不确定它们是不是很棒的路由器。两家 ISP 都向我保证,不会发生任何限制。

希望这是有道理的。任何建设性的想法将不胜感激。非常感谢

D

1个回答

有两个基本选项:

  1. 您使用交换机将所有设备直接连接到您的 ISP 路由器/切换端口。如果您使用托管交换机,请确保确保一切安全:从 (WAN) VLAN 中删除管理/IP 接口,禁用 CDP、LLDP、MSTP/RSTP/RPVST 和所有其他可能用于破坏或干扰您的网络的功能。在交换机上使用 ACL 创建(非常基本的)防火墙。
  2. 将 Sonicwall 上的虚拟 IP 映射到 DMZ(私有)IP 地址(或仅 TCP/UDP 端口)。确保 Sonicwall 响应这些 IP 地址上的 ARP,以便 ISP 路由器可以正确转发。设置防火墙策略以允许您需要的连接。对于任何未经过 Internet 加固的设备,我都会认真推荐此选项。

这些选项也可以组合,因此您可以将 VPN 网关直接连接到交换机/VLAN,并通过 Sonicwall 将其他 IP 映射到服务器/服务。

PS:

确保端口运行双工并且尽可能高

永远不要手动配置以太网端口,除非您可以在两侧进行相同的配置(并且首先需要这样做)。特别是为手动全双工配置一侧会停用自动协商,这 a) 完全禁用千兆以太网(其中 Autoneg 是强制性的)并且 b) 导致另一侧回退到半双工(传统模式)。这反过来又会造成令人讨厌的双工不匹配,从而导致性能非常差。

其它你可能感兴趣的问题
上一篇为什么我无法访问其他网络中的设备? 下一篇IP 地址租用流程如何工作?