在给定信息的情况下,我如何制作此 ISP 的公共 IP?

网络工程 思科 IPv4 局域网 杜松
2022-02-22 01:51:12

我有一台 Draytek Vigor 2920、Juniper SRX 210 路由器和 Cisco SC300-10 交换机。我很迷茫; 如何设置它以便我在 Dell R310 上拥有公共 IP 地址?

1 - 我的 ISP,来自比利时的 Telenet,为我提供了 8 个公共 IP 供我的 Dell R310 服务器使用,但它们的设置非常令人不安。

我必须在我的 Draytek 路由器的 WAN 接口上设置 213.xx254。之后,我必须设置 VLAN 1 以获得 82.xx17/29 的公共 IP。

之后,我必须ip route 0.0.0.0 0.0.0.0 213.x.x.253为我的默认路线做一个。

2 - 我已完成上述步骤,但问题如下:Dell R310 的网络接口 eth0 的 IP 为 192.168.1.10,在路由器中我有一个从 84.xx1 到 192.168.1.10 的 DMZ

我所有的问题都是从这里开始的,因为SIP协议发送流量时,使用的是192.xxx,而不是84.xxx;NAT 问题的结果。

问:我怎样才能让我的 Dell R310 拥有真正的公共 IP?所以 eth0 不是这样配置的:192.168.1.10。而是将静态 IP 设置为:84.xx1(由于这个原因,我遇到了 NAT 问题)

在此处输入图像描述

编辑:我拥有的 Draytek Vigor 2920 系列:设置 WAN IP 但如何将 WAN 公共 IP 分配给 VLAN 或本地接口 1?

ISP 希望我将此设置保留在我的 DrayTek 中:http: //fpaste.org/69305/13899673/

在此处输入图像描述 在此处输入图像描述

编辑:仅供参考

a)感谢您在正确完成工作后的出色回答。

b) DrayTek 路由器不是消费者/住宅路由器/低质量路由器,它们已在许多企业、电信部门和许多大型企业中使用。

c) DrayTek 路由器旨在进行简单/快速的配置(与 Cisco/Juniper 综合体相比)

以下设置专门的 IP 路由子网模块解决了我的问题,它允许我没有 NAT,而是直接将公共 IP 连接到我的 LAN 接口,而没有任何防火墙/阻塞。

设置公共 IP WAN 隧道 设置 DHCP 服务器 + wifi + 公共 IP 用于手动设置 设置没有 NAT 的公共 IP 在此处输入图像描述

编辑:Draytek 支持回复(希望对其他人有所帮助)

您不应将提供商的外部 IP 地址设置为 DrayTek 的 LAN 地址。要实现这种情况,您必须使用一个名为“公共路由子网”的功能。我们有使用此功能的荷兰语手册。请参考以下手册:http ://www.draytek.nl/files/Public%20routed%20subnet_1.pdf

2个回答

最好不要对服务器使用 NAT。我不知道如何配置 Draytek,但您的瞻博网络 SRX 肯定能够执行以下操作:

  • 您的路由器/防火墙的 WAN 地址是213.x.x.254/30
  • 路由器/防火墙的默认网关是213.x.x.253

Telenet 将路由82.x.x.16/29213.x.x.254. /29子网中,您将能够使用地址82.x.x.17- 82.x.x.22. 我使用第一个可用地址作为路由器/防火墙地址。82.x.x.18留给82.x.x.22其他设备。

因为您可能同时拥有必须使用自己的公共地址从 Internet 访问的设备和不需要创建两个内部网络的设备:DMZ 和 LAN。公共地址被路由到 DMZ,其余设备(您的办公室?)连接到 LAN。LAN 使用 NAT 来保存 IP 地址。

首先是非军事区:

  • 您的路由器/防火墙的 DMZ 地址是82.x.x.17/29
  • 您的服务器地址可以是从82.x.x.1882.x.x.22
  • 您服务器的默认网关是82.x.x.17
  • 您静态配置所有这些

和局域网:

  • 您的路由器/防火墙的 LAN 地址是(例如)192.168.1.1/24
  • 您的设备192.168.1.1用作其默认网关
  • 路由器/防火墙运行 DHCP 服务器为连接的设备提供所有必要的信息

您现在必须在允许所有流量的路由器/防火墙上配置防火墙策略。一个例子:

  • 在没有 NAT 的情况下允许从 DMZ 到 Internet 的所有内容
  • 使用 NAT 允许从 LAN 到 Internet 的所有内容
  • 在没有 NAT 的情况下允许从 LAN 到 DMZ 的一切
  • 不允许从 Internet 到 LAN
  • 允许(几乎?)任何东西从 DMZ 到 LAN
  • 仅允许从 Internet 到 DMZ 的公开可用服务

对于 DMZ 和 LAN,您可以使用物理上不同的以太网端口和以太网交换机,也可以使用 VLAN 在单个交换机上实现它。您甚至可以使 DMZ 和 LAN 成为一个网络,但是您无法保护 LAN 免受服务器的影响(以防有人闯入或发现可利用的错误)。

我试图了解您的要求,并且根据您对网络设置的描述,没有任何充分的理由使用私有寻址;即使您需要为其他功能使用单独的网络。您在评论中提供的链接宣传它处理多个子网。

我首先将您的 Draytek Vigor 设置为分配公共地址空间 ( 84.x.x.*) 的 DHCP 服务器。这将带走 NAT 并相对轻松地允许对您的公共地址的入站请求。

如果您想保持您的私有 IP 地址空间完好无损,那么您可以将您的服务器 ( 192.168.1.10) 设置为您的 WAN 地址 ( 212.x.x.x) 的 DMZ。

其它你可能感兴趣的问题
上一篇现场WIFI可行性研究 下一篇机架式服务器具有光纤输入和输出是否很常见?或者它是cat 5,你必须在之后转换?