Bagaimana memiliki beberapa server web dan IP pada jaringan fisik yang sama

6

Saya melakukan pengembangan web di luar kantor kecil dan perlu memiliki beberapa server fisik dan virtual yang dapat diakses dari internet. Saya juga memiliki sejumlah perangkat (komputer, laptop, tablet, printer, dll) yang perlu koneksi juga. Saya telah mendapatkan subnet 8 IP dari ISP saya dan sementara itu cukup untuk server web yang terlalu kecil untuk semua yang membutuhkan akses ke jaringan.

Router saya adalah ASUS RT-N16 yang menjalankan DD-WRT. Saya cukup pintar tentang topik perutean ini menjadi berbahaya, pikir 2 tahun dengan spidol ajaib. Saya ingin menjaga jaringan internal saya tetap di jaringan 192.168.xx dan merutekan 68.69.xx 255.255.255.248 lalu lintas langsung ke server. Jaringan fisik terdiri dari router 4 port DD-WRT dan sakelar pertunjukan yang tidak dikelola. Saya memiliki koneksi fiber ke kantor yang berfungsi sebagai port Ethernet. Dengan kata lain saya dapat menghubungkan laptop saya langsung ke dalamnya dan memiliki akses ke internet. Tidak ada login atau kata sandi dan router diatur untuk mendapatkan DHCP dari ISP, dan untuk memberikan alamat DHCP untuk jaringan internal.

Apa yang saya lakukan sejauh ini adalah google dan mencoba berbagai konfigurasi dengan sedikit keberhasilan. Pada akhirnya saya memutuskan bahwa saya bahkan tidak tahu bagaimana mengajukan pertanyaan yang diperlukan.

Pertanyaan saya adalah:

  1. Apakah ini cara terbaik untuk mengkonfigurasi jaringan?

  2. Bagaimana Anda melakukannya? VLAN? Banyak router?

Saya tidak pernah harus mengkonfigurasi router menggunakan sesuatu yang lebih dari GUI jadi jika ini adalah hal-hal baris perintah menjadi lembut.

saya tandatangani
sumber
ISP Anda hampir pasti mengharapkan Anda untuk secara statis menetapkan IP kedua dari rentang itu ke antarmuka sisi WAN pada router Anda. Alamat pertama akan menjadi alamat gateway di ISP. Untuk enam alamat lainnya, mereka mengharapkan Anda untuk mengatur NAT satu-ke-satu pada router Anda.
Zoredache
Apa yang Anda katakan masuk akal, tetapi saya tidak tahu bagaimana cara melakukannya. Sebagai informasi lebih lanjut, ISP telah memberi saya satu IP statis yang menunjuk ke router dan dapat digunakan untuk penerusan port, dan jaringan xx.xx.xx.16, gateway xx.xx.xx.17, xx.xx.xx .18-22 dapat digunakan, siaran xx.xx.xx.23, 255.255.255.248 subnet mask.
ditandatangani

Jawaban:

1

Yang pertama, pertanyaan ini akan memiliki respons yang lebih baik pada Serverfault.com karena diarahkan pada lingkungan bisnis dan bukan pertanyaan jenis meja layanan pengguna tunggal. Meskipun itu harus diperdebatkan oleh beberapa orang. Atau, Anda perlu mencari konsultan Network Engineer untuk mendesain ini untuk Anda atau melakukan banyak membaca tentang IP natting dan routing vlan.

Anda dapat melakukannya dengan beberapa cara berbeda tergantung pada anggaran Anda, tetapi saya akan mencari solusi cisco, karena memiliki routable vlan dan IP NAT (Network Address Translation). Dalam skenario ini Anda akan memiliki beberapa Vans berjalan pada Switch Cisco (Dapat menggunakan switch layer 2 dan router Anda merutekan vlan atau layer 3 untuk semuanya untuk Anda) dan router Cisco merawat NAT untuk semua IP eksternal Anda ke alamat internal Anda dan Vans. Saat mengatur IP natting pada router CIsco Anda membatasi akses dengan mengatur ACL dan akan merutekan ke vlan dengan menggunakan penandaan dot1q.

Berikut adalah contoh desain yang harus dimiliki:

1-2 Alamat IP Publik yang terhubung ke Vlan 2 IP pribadi (Laptop, tablet, dll) 1-2 Alamat IP Publik yang terhubung ke vlan 3 stage (lingkungan pengujian panggung) 2-6 Alamat IP Publik yang dipetakan ke vlan 4 server Web

Semoga berhasil..

onxx
sumber
Tindak lanjut cepat: Pertimbangkan juga bagaimana alamat IP jaringan Anda akan terpengaruh ketika IPv6 diperkenalkan oleh penyedia Anda.
onxx
0

Tetapkan satu alamat statis ke gateway Anda, NAT yang lainnya dan jalankan setiap server web pada port yang berbeda. Konfigurasikan router Anda untuk meneruskan port yang sesuai (80) ke setiap server alamat IP lokal.

Skandal
sumber
Saya telah menggunakan port forwarding untuk waktu yang lama. Selama hanya ada satu perangkat fisik / virtual berfungsi dengan baik. Tapi, saya suka memberi ilusi kepada klien saya bahwa saya tahu apa yang saya lakukan. Memberitahu mereka untuk membuka situs mereka _messed_up_website.com:6666 tidak membantu <lol> Yang benar adalah satu klien ingin menggunakan server windows, yang lain memiliki kode usang yang tidak akan berjalan pada host yang ditambal, dan saya memiliki server saya. Banyak IP adalah cara untuk melakukannya. Jika saya bisa mencari cara untuk melakukannya.
ditandatangani
jadi bagaimana cara kerjanya ketika site1.com di -host di server1 dan situs2 di -host di server2. Baik site1 dan site2 akan menggunakan port 80. Bagian dari apa yang saya lakukan adalah meng-host situs web untuk klien, dapat dimengerti bahwa mereka tidak mau mengiklankan situs mereka dengan penugasan port.
ditandatangani pada
Ya, konfigurasi di atas memerlukan mengetik titik dua dengan nomor port yang ditambahkan ke URL - yang seperti yang Anda katakan tidak diinginkan untuk sebagian besar. Ada cara Anda bisa membuatnya bekerja tetapi membutuhkan server proxy internal untuk menerima permintaan HTTP dan server DNS lokal yang dapat meminta untuk menyelesaikan server web Anda secara internal. Lihat artikel ini. jansipke.nl/multiple-webservers-behind-one-ip-address
Scandalist
0

Saya pikir masalah ini merupakan masalah pada tingkat yang jauh lebih tinggi, mungkin pada lapisan aplikasi - daripada perutean. Agar beberapa server berjalan secara internal pada alamat dan port eksternal yang sama, perlu ada perangkat di antara yang memahami permintaan HTTP tingkat yang lebih tinggi. Perangkat ini juga akan memiliki kemampuan untuk mem-parsing domain dari struktur URL dan secara bersamaan meminta server DNS internal untuk resolusi yang sesuai. Proxy reverse AKA .

Pada dasarnya, permintaan DNS eksternal dikirim ke server DNS internal Anda di jaringan Anda. Setelah ini terjadi, browser akan mengirimkan permintaan HTTP melalui gateway NAT'd hanya untuk dicegat oleh server proxy terbalik yang kemudian mem-parsing domain dari header, menyelesaikan nama-nama yang terkait secara internal dan meneruskan permintaan ke server yang benar.

Skandal
sumber
ia memiliki 6 alamat IP publik untuk digunakan.
Segfault
0

Mengingat apa yang saya lihat di sini, ada beberapa hal:

  • Port-forward IP statis port-80 ke server yang cukup un_messed_up untuk menjaminnya.
  • Untuk akses perangkat internal acak, IP statis Anda dapat digunakan sebagai IP NAT egress. Yang terbaik adalah mencadangkan satu IP hanya untuk alasan reputasi IP, tetapi dengan hanya 6 IP yang dapat digunakan untuk bekerja, itu mungkin tidak masuk akal.
  • Untuk kepingan salju khusus, Anda bisa menjadi cukup kreatif dengan konfigurasi HAProxy . Anda dapat mengatur aturan berdasarkan nama server (ini mengasumsikan tidak ada SSL yang terlibat) yang kemudian merutekan ke server back-end yang dikonfigurasi berdasarkan nama itu. Agak suka vhosts, tetapi ditangani pada tingkat Proxy daripada web-server itu sendiri.

Catatan: inilah mengapa IPv6 adalah masa depan , masalah semacam ini agak hilang. Tetapi itu tidak membantu Anda sekarang (kecuali, tentu saja, klien Anda memiliki dukungan v6).

Konfigurasi Anda terlihat cukup normal untuk pengaturan kantor kecil.

SysAdmin1138
sumber