这是背景信息:
我支持具有中继安装的蜂窝数据调制解调器的传统区域用户组。这些设备使用私有 APN,这意味着它们不直接通过 Internet 通信,来自这些设备的所有流量都通过租用线路从无线提供商进入我们的私有网络,此时防火墙决定丢弃或路由数据包。
很久以前提供此私有 APN 设置的供应商使用移动设备的公共地址以及他们可以与之通信的特定公共子网。出于说明目的,我会说子网是 1.2.3.0/29(这不是真正的子网)。因此,我们可以对网络上的 6 个设备进行寻址 (1.2.3.1 - 1.2.3.6)。
该设备为车辆中的笔记本电脑提供连接,但每台笔记本电脑也将 AVL 位置数据报告给这些服务器之一,可以说是 1.2.3.6。这些报告是已知端口上的 UDP 消息,假设是端口 21000。设备配置需要 IP 地址,而不是 DNS 可查询设备名称。
我们专用网络上的服务器实际上没有地址 1.2.3.6。Cisco ASA 防火墙具有用于端口 21000 的 UDP 端口 NAT,从移动设备使用的公共子网中的任何机器到 AVL 服务器的真实地址。
变化即将来临:现在,这么多年过去了,我们正在升级功能,现在无线供应商将为设备分配私有地址。一旦迁移完成,移动设备的公共子网以及我们服务器的公共子网(1.2.3.0/248 以上)将不再分配给我们。因此,我们一直用于 AVL 的 1.2.3.6 地址将不再“属于”或以其他方式分配给我们(它始终属于供应商)。
问题:移动设备现在将在其中获取地址的新私有子网未包含在 UDP 端口 NAT 防火墙规则中。一旦我们迁移了 APN,蜂窝调制解调器将不再能够成功报告其 AVL 位置。如果我们更改 AVL 服务器地址,蜂窝调制解调器(超过 1000 个)必须一次手动重新配置一个。如果我们继续迁移,AVL 报告将停止工作,直到我们手动重新配置每个调制解调器。如果我们在迁移之前重新配置,我们会中断 AVL 直到迁移发生。无法同时自动进行这些更改。
我的解决方案:我首先要求我的网络供应商将移动设备的新 10.xxx 子网添加到端口将 UDP 转发到 1.2.3.6 端口 21000 到正确服务器的防火墙规则中。有人告诉我,我无法将试图访问公共地址 (1.2.3.6) 的私有 (10.xxx) 地址的流量 NAT 传输到内部服务器。我不知道这是否是 Cisco ASA 不允许的安全违规,或者这是否是网络供应商的政策。然后我问防火墙之前的路由器是否可以为我做这个 UDP PORT NAT,在流量到达防火墙之前将 1.2.3.6 更改为服务器的“真实”地址。不,有人告诉我,由于我们将不再被分配这个特定的公共地址,因此他不能在路由器中包含该 UDP 端口 NAT。“我们不能坚持我们不租赁或拥有的区块分配。
我的问题:也许这是一个意见问题?只有进入我们的租用线路(即移动设备)的流量才能访问这一非常具体的规则。他们当然永远不需要也不会尝试访问位于 1.2.3.6 端口 21000 的公共 Internet 设备。是否存在我不知道的风险?我知道情况并不理想,但我正在尝试找到一种解决方案,使我们能够使用更新的更快的 APN 技术向前推进,但不会破坏机群中的每个调制解调器配置。
我是否要求供应商做一些合法不应该做的事情?我不希望造成任何安全风险,或尝试使用或窃取未分配给我的公共地址空间。你会怎么做来支持这个网络挑战?