我收到了来自完全独立路由域中的合作伙伴供应商的请求,要求在我的 rfc1918 内部网络上直接路由 /24 rfc1918 网络。建议的解决方案通过静态路由将它们的切换直接连接到我们的路由器,而我的路由器上的下一跳指向供应商路由器。
192.168.1.0 (ext network) —> 10.1.1.1/30 (ext p2p) <- cable —> 10.1.1.2/30 (int p2p) <-192.168.2.0/24
乍一看,这引发了一堆危险信号,即合并两个完全独立组织的两个私有网络的不良做法。实际上,只要我们跟踪供应商网络上的重叠子网以确保我们不会在我们的网络上配置相同的子网,它就会起作用。我知道外部网络需要一定程度的信任才能不以我的方式路由大量流量,但希望至少使用 ACL 仅允许预期的子网通过 p2p 接口。
所以我想知道是否有人有我在这个设置中忽略的场景或问题?
您需要制定并编写安全定义(=允许哪些连接 - 不允许其他任何连接)和其他形式(平均/最大带宽、QoS、可用性等)。使安全定义粗略(子网 A <-> 子网 B 等)和死板,让连接方处理细节(基于主机或基于端口的过滤)。
从网络方面来看,这应该不是什么大问题,尤其是在没有重叠的情况下(我们可以看到)。当然,您需要过滤除允许的任何流量。
还有一些问题是:
您打算在此连接上使用的协议是否都与您可用设备的 NAT 实施兼容?如果是这样,从长远来看,这确实会让您的事情变得更轻松。您可以使用供应商想要的任何地址创建一个隔离的 NAT 池,而无需在您的网络内路由该池。
您的哪些 IP 地址能够访问供应商网络上的资源?他们是否本质上是在他们身边创建一个 VRF 和 NAT 池,以便他们可以允许像您这样的任何客户从客户的 RFC1918 主机访问他们的 RFC1918 寻址资源?
如果您更喜欢使用自己的公共地址,这是否允许?如果没有,供应商是否真的有信息安全和网络团队?
供应商是否愿意最终使用公共地址?
叹息IPv6 已经存在了 20 多年,而我们仍在做这样的事情。:(
从技术上讲,在地址空间中添加另一个相邻的 bogon 网络就像静态路由一样简单。从技术上讲,这是最简单的有效解决方案。
您可能需要考虑一些事情。
每个站点的 /24 是否足够大?当您超出 IP 空间时,您打算在哪里添加其他地址?
是否有一个紧迫的理由来路由完整的 /24 网络块?通常会使用防火墙在站点之间提供选择范围的 IP 和服务。这不仅是为了安全。许多协议可以使用广播和扫描相邻网络 (SMB)。这将导致所有参与的机器现在经常通过该网络链接发送额外的单播,从而导致缓慢的“发现”事件。
一般来说,我已将公司中的所有 192 个网络替换为 10 个网络。这具有拥有统一 IP 空间的优势,因此您可以提供任何/任何路由,而无需复杂的 NAT。此外,当您添加日志记录时,通过前缀识别位置和设备会更容易。通常情况下,WIFI 和 LAN IP 空间是唯一的,可以更容易地通过防火墙进行分段和在日志中进行识别。在家庭网络中,它们是相同的,以实现简单性和自动发现协议。
您提到了静态路由。您可能想研究 OSPF 或 RIP。在这种情况下,您可能不需要它,但一旦您有一些经验并定义了一些领域,它将允许更轻松的未来增长。考虑冗余网络路径(双宿主互联网)或多个 VPN 的场景。