ডাবল- NAT নেটওয়ার্কের জন্য নেটওয়ার্ক পুনর্গঠন পদ্ধতি

বেশ কিছু বছর আগে এখানে এবং সেখানে কয়েক হাজার টাকা বাঁচানোর জন্য বেশ কয়েকটি বছর আগে তৈরি বেশ কয়েকটি নেটওয়ার্ক ডিজাইনের সিদ্ধান্তের (বেশিরভাগ ক্ষেত্রে) কারণে , আমার কাছে একটি নেটওয়ার্ক রয়েছে যা স্থিরভাবে উপ-অনুকূলভাবে আর্কিটেটেড। আমি কম-সুখকর পরিস্থিতিটি উন্নত করার জন্য পরামর্শগুলি সন্ধান করছি।

আমরা লিনাক্স ভিত্তিক আইটি বিভাগ এবং সীমিত বাজেটের সাথে অলাভজনক। (দ্রষ্টব্য: আমাদের যে উইন্ডোজ সরঞ্জামগুলি চালিত হয় তার কোনওটিই ইন্টারনেটের সাথে কথা বলে না এবং আমাদের কোনও উইন্ডো অ্যাডমিনও স্টাফগুলিতে নেই))

গুরুত্বপূর্ণ দিক:

• আমাদের কাছে একটি প্রধান অফিস এবং প্রায় 12 টি দূরবর্তী সাইট রয়েছে যা শারীরিকভাবে পৃথকীকরণ করা সুইচগুলির সাথে তাদের সাবনেটগুলি মূলত দ্বিগুণ করে। (বর্তমান স্যুইচগুলির সাথে কোনও ভিএলএনইং এবং এটি করার সীমাবদ্ধ ক্ষমতা নেই)
• এই অবস্থানগুলিতে একটি "ডিএমজেড" সাবনেট রয়েছে যা প্রতিটি সাইটে স্বতন্ত্রভাবে নির্ধারিত 10.0.0 / 24 সাবনেটে NAT'd থাকে। এই সাবনেটগুলি ডিএমজেডের সাথে অন্য কোনও স্থানে কথা বলতে পারে না কারণ আমরা এগুলি সার্ভার এবং সংলগ্ন "ফায়ারওয়াল" এর মধ্যে ব্যতীত অন্য কোথাও রুট করি না।
• এর কয়েকটি অবস্থানের একাধিক আইএসপি সংযোগ রয়েছে (টি 1, কেবল এবং / অথবা ডিএসএল) যা আমরা ম্যানুয়ালি লিনাক্সে আইপি সরঞ্জাম ব্যবহার করে রুট করি। এই ফায়ারওয়ালগুলি সমস্ত (10.0.0 / 24) নেটওয়ার্কে চালিত হয় এবং বেশিরভাগই "প্রো-সুমার" গ্রেড ফায়ারওয়াল (লিংকিস, নেটগার ইত্যাদি) বা আইএসপি-সরবরাহিত ডিএসএল মডেমগুলি।
• এই ফায়ারওয়ালগুলি সংযোগ করা (সাধারণ অব্যবস্থাপনাযুক্ত স্যুইচগুলির মাধ্যমে) এক বা একাধিক সার্ভার যা অবশ্যই প্রকাশ্যে-অ্যাক্সেসযোগ্য।
• মূল অফিসের 10.0.0 / 24 সাবনেটের সাথে সংযুক্ত ইমেলগুলির জন্য সার্ভারগুলি, টেলিযোগকারী ভিপিএন, দূরবর্তী অফিস ভিপিএন সার্ভার, অভ্যন্তরীণ 192.168 / 24 সাবনেটগুলিতে প্রাথমিক রাউটার। এগুলি ট্র্যাফিকের ধরণ এবং সংযোগ উত্সের ভিত্তিতে নির্দিষ্ট আইএসপি সংযোগগুলি থেকে অ্যাক্সেস করতে হবে।
• আমাদের সমস্ত রুটিং ম্যানুয়ালি বা ওপেনভিপিএন রুটের বিবৃতি দিয়ে সম্পন্ন হয়
• আন্তঃ-অফিস ট্র্যাফিক মূল 'রাউটার' সার্ভারে ওপেনভিপিএন পরিষেবা দিয়ে যায় যার নিজস্ব নেট রয়েছে ing
• রিমোট সাইটগুলিতে প্রতিটি সাইটে একটি করে সার্ভার ইনস্টল থাকে এবং বাজেটের সীমাবদ্ধতার কারণে একাধিক সার্ভার বহন করতে পারে না। এই সার্ভারগুলি সমস্ত এলটিএসপি সার্ভারগুলি বেশ কয়েকটি 5-20 টার্মিনাল।
• 192.168.2 / 24 এবং 192.168.3 / 24 সাবনেটগুলি বেশিরভাগ ক্ষেত্রে তবে পুরোপুরি সিসকো 2960 স্যুইচগুলিতে নয় যা ভিএলএএন করতে পারে। বাকীটি হ'ল DLink DGS-1248 স্যুইচ যা আমি নিশ্চিত না যে আমি ভিএলএএন-এর সাথে ব্যবহারের জন্য যথেষ্ট ভাল বিশ্বাস করি। ভিএলএএন সম্পর্কিত কিছু অভ্যন্তরীণ উদ্বেগ রয়েছে যেহেতু কেবলমাত্র প্রবীণ নেটওয়ার্কিং স্টাফ ব্যক্তি এটি বুঝতে পারে যে এটি কীভাবে কাজ করে।

সমস্ত নিয়মিত ইন্টারনেট ট্র্যাফিক সেন্টোস 5 রাউটার সার্ভারের মধ্য দিয়ে যায় যা NAT 192.168 / 24 -কে সাবনিটগুলিতে 10.0.0.0/24 সাবনেটগুলিতে ম্যানুয়ালি-কনফিগার করা রাউটিং বিধি অনুসারে পরিণত হয় যা আমরা নির্ভর করে ইন্টারনেটের বাইরে থাকা ট্র্যাফিককে সঠিক ইন্টারনেট সংযোগের দিকে নির্দেশ করতে পারি '-হোস্ট' রাউটিং স্টেটমেন্ট।

আমি এটি সরল করতে চাই এবং এই জনসাধারণের মুখোমুখি পরিষেবাগুলি সহ, এসএসআই ভার্চুয়ালাইজেশনের জন্য সমস্ত জিনিস প্রস্তুত করতে চাই। এমন কোনও- বা কম-দামের সমাধান কি ডাবল-ন্যাট থেকে মুক্তি পাবে এবং এই জগতে কিছুটা পবিত্রতা ফিরিয়ে আনবে যাতে আমার ভবিষ্যতের প্রতিস্থাপনটি আমাকে খুঁজে না ফেলে?

মূল অফিসের জন্য বেসিক ডায়াগ্রাম:

এগুলি আমার লক্ষ্য:

• ESXi সার্ভারগুলির মধ্যে 192.168.2 / 24 সাবনেটে 192.168.2 / 24 সাবলেটতে সরানো হবে সেই মাঝারি 10.0.0 / 24 নেটওয়ার্কে ইন্টারফেস সহ সার্বজনীন-মুখোমুখি সার্ভারগুলি।
• ডাবল NAT থেকে মুক্তি পান এবং আমাদের সম্পূর্ণ নেটওয়ার্কটি একটি একক সাবনেটে পাবেন get আমার বোধগম্যতা হ'ল এটি যাইহোক যাইহোক আইপিভি 6 এর অধীনে আমাদের করা দরকার, তবে আমি মনে করি এই জগাখিচুড়ি পথে দাঁড়িয়ে আছে।

১) মূলত অন্য যে কোনও কিছুতে আপনার আইপি অ্যাড্রেসিংয়ের পরিকল্পনাটি সোজা করে দেওয়া উচিত। এটিকে ভাড়া দেওয়া কষ্টদায়ক তবে কার্যকর একটি অবকাঠামোতে পৌঁছানোর প্রয়োজনীয় পদক্ষেপ এটি। ওয়ার্কস্টেশন, সার্ভার, দূরবর্তী সাইটগুলি (স্বতন্ত্র আইপি'র সাথে স্বাভাবিকভাবে), পরিচালন নেটওয়ার্কগুলি, লুপব্যাকস ইত্যাদির জন্য স্বাচ্ছন্দ্যে বড়, সহজে সংক্ষিপ্ততর সুপারনেটগুলি সেট করে রাখুন There

২) উপরের চিত্রের উপর ভিত্তি করে আপনার নেটওয়ার্কে কীভাবে এল 2 রাখবেন তা উপলব্ধি করা শক্ত hard আপনি যদি আপনার বিভিন্ন গেটওয়েতে পর্যাপ্ত সংখ্যক ইন্টারফেসের পাশাপাশি পর্যাপ্ত সংখ্যক সুইচ পেয়ে থাকেন তবে ভিএলএএন প্রয়োজনীয় হবে না। একবার আপনি # 1 এর উপলব্ধি পেয়ে গেলে এটি L2 প্রশ্নটি আলাদাভাবে পুনরায় প্রকাশ করা বুদ্ধিমান হতে পারে। এটি বলেছিল, ভিএলএএনগুলি কোনও বিশেষত জটিল বা উপন্যাস প্রযুক্তির সেট নয় এবং এত জটিল হওয়ার দরকার নেই। একটি নির্দিষ্ট পরিমাণের বেসিক প্রশিক্ষণের ব্যবস্থা রয়েছে তবে ন্যূনতম সময়ে বন্দরগুলির কয়েকটি গ্রুপে (যেমন ট্রাঙ্কিং ছাড়াই) একটি স্ট্যান্ডার্ড সুইচ আলাদা করার ক্ষমতা প্রচুর অর্থ সাশ্রয় করতে পারে।

৩) ডিএমজেড হোস্টগুলি সম্ভবত তাদের নিজস্ব এল 2 / এল 3 নেটওয়ার্কে স্থাপন করা উচিত, ওয়ার্কস্টেশনের সাথে একত্রীকরণ করা হবে না। আদর্শভাবে আপনি আপনার সীমান্ত রাউটারগুলি একটি এল 3 ডিভাইসে সংযুক্ত করেছেন (রাউটারের অন্য সেট? এল 3 স্যুইচ?) যা ফলস্বরূপ, আপনার বাহ্যিক বাহ্যিক সার্ভার ইন্টারফেস (এসএমটিপি হোস্ট ইত্যাদি) সমন্বিত কোনও নেটওয়ার্ককে সংযুক্ত করবে। এই হোস্টগুলি সম্ভবত একটি স্বতন্ত্র নেটওয়ার্কে বা (সাধারণভাবে কম অপেক্ষাকৃত) একটি সাধারণ সার্ভার সাবনেটের সাথে সংযোগ স্থাপন করবে। যদি আপনি আপনার সাবনেটগুলি যথাযথভাবে রেখেছেন তবে সরাসরি অভ্যন্তরীণ ট্র্যাফিকের জন্য প্রয়োজনীয় স্থির রুটগুলি খুব সহজ হওয়া উচিত।

3 এ।) ভিপিএন নেটওয়ার্কগুলিকে অন্যান্য ইনবাউন্ড পরিষেবাদি থেকে আলাদা রাখার চেষ্টা করুন। এটি সুরক্ষা পর্যবেক্ষণ, সমস্যা সমাধান, অ্যাকাউন্টিং ইত্যাদির মতো বিষয়গুলিকে আরও সহজ করে তুলবে

৪) আপনার ইন্টারনেট সংযোগগুলি সংহতকরণ এবং / অথবা বেশ কয়েকটি ক্যারিয়ারের মাধ্যমে একটি একক সাবনেট রুট করার সংক্ষিপ্ততা (পড়ুন: বিজিপি) আপনার সীমান্ত রাউটারগুলি ইন-এবং আউট-বাউন্ড ট্র্যাফিক যথাযথভাবে পুনঃনির্দেশ করতে সক্ষম হওয়ার আগে আপনাকে মধ্যবর্তী হুপের প্রয়োজন হবে (যেমন) আমি সন্দেহ করি আপনি এই মুহুর্তে করছেন)। এটি ভিএলএএন-এর চেয়ে বড় মাথাব্যথার মতো মনে হলেও আমি মনে করি এটি সব সম্পর্কিত।