몇 년 전에 여기저기서 몇 가지 비용을 절약하기 위해 일련의 불충분 한 네트워크 설계 결정으로 인해 결정적으로 최적화되지 않은 네트워크가 있습니다. 이 불쾌한 상황을 개선하기위한 제안을 찾고 있습니다.
우리는 Linux 기반 IT 부서와 제한된 예산으로 비영리 단체입니다. (참고 : 우리가 운영하는 Windows 장비 중 어느 것도 인터넷과 대화하거나 Windows 관리자가없는 직원은 없습니다.)
키 포인트:
- 본사와 물리적으로 분리 된 스위치로 서브넷을 본질적으로 두 배로 NAT하는 약 12 개의 원격 사이트가 있습니다. (VLAN 없음 및 전류 스위치로 제한 가능)
- 이러한 위치에는 각 사이트에서 동일하게 할당 된 10.0.0 / 24 서브넷에 NAT 된 "DMZ"서브넷이 있습니다. 이 서브넷은 서버와 인접한 "방화벽"사이를 제외하고 다른 곳에서는 라우팅하지 않기 때문에 다른 위치에서 DMZ와 통신 할 수 없습니다.
- 이러한 위치 중 일부에는 Linux에서 IP 도구를 사용하여 수동으로 라우팅하는 여러 ISP 연결 (T1, 케이블 및 / 또는 DSL)이 있습니다. 이러한 방화벽은 모두 (10.0.0 / 24) 네트워크에서 실행되며 대부분 "프로슈머"등급 방화벽 (Linksys, Netgear 등) 또는 ISP 제공 DSL 모뎀입니다.
- 관리되지 않는 간단한 스위치를 통해 이러한 방화벽을 연결하는 것은 공개적으로 액세스 할 수있는 하나 이상의 서버입니다.
- 본사의 10.0.0 / 24 서브넷에 연결된 이메일, 재택 근무자 VPN, 원격 사무실 VPN 서버, 내부 192.168 / 24 서브넷에 대한 기본 라우터 서버가 있습니다. 트래픽 유형 및 연결 소스를 기반으로 특정 ISP 연결에서 액세스해야합니다.
- 우리의 모든 라우팅은 수동으로 또는 OpenVPN 경로 설명으로 이루어집니다
- 사무실 간 트래픽은 자체 NAT가 포함 된 기본 '라우터'서버에서 OpenVPN 서비스를 통과합니다.
- 원격 사이트는 각 사이트에 하나의 서버 만 설치되며 예산 제약으로 인해 여러 서버를 감당할 수 없습니다. 이 서버는 모두 LTSP 서버이며 여러 5-20 터미널입니다.
- 192.168.2 / 24 및 192.168.3 / 24 서브넷은 VLAN을 수행 할 수있는 Cisco 2960 스위치에 있지만 대부분은 아닙니다. 나머지는 DLink DGS-1248 스위치로, VLAN과 함께 사용하기에 충분히 신뢰할 수 있는지 잘 모르겠습니다. 또한 선임 네트워킹 직원 만이 작동 방식을 이해하므로 VLAN에 대한 내부적 인 우려가 남아 있습니다.
모든 일반 인터넷 트래픽은 CentOS 5 라우터 서버를 통과합니다.이 서버는 아웃 바운드 트래픽을 기반으로 올바른 인터넷 연결을 가리키는 데 사용하는 수동 구성 라우팅 규칙에 따라 192.168 / 24 서브넷을 10.0.0.0/24 서브넷으로 NAT합니다. '-host'라우팅 문.
이러한 공개 서비스를 포함하여이를 단순화하고 ESXi 가상화를위한 모든 것을 준비하고 싶습니다. Double-NAT를 제거 하고이 혼란에 약간의 정신을 회복하여 미래의 교체품이 나를 사냥하지 못하게하는 무료 또는 저렴한 솔루션이 있습니까?
본사의 기본 다이어그램 :
이것이 나의 목표입니다 :
- 중간 10.0.0 / 24 네트워크에 인터페이스가있는 공개 서버는 ESXi 서버의 192.168.2 / 24 서브넷으로 이동됩니다.
- 이중 NAT를 제거하고 단일 네트워크에서 전체 네트워크를 확보하십시오. 내 이해는 이것이 어쨌든 IPv6에서해야 할 일이라는 것이지만,이 혼란은 방해가되고 있다고 생각합니다.
예. 서브넷은 모두 물리적으로 분리되어 있으며 레이블이 지정된 주소로 지정됩니다. 실제로 192.168.3 / 24는 실제로 THAT 서버 뒤의 LTSP 워크 스테이션으로 라우팅되기 전에 2/24 및 3/24 인터페이스가있는 서버를 통해 라우팅되므로 훨씬 더 단순 해집니다.
—
Magellan
/24습니까? 아니면 LTSP 클라이언트에 대해 완전히 분리 된 네트워크가 있고 서버가 두 네트워크에 모두 연결되어 있습니까?