内部区域里面设置了很多不同网段,设备只在同一网段的情况下能够互访,另一区域情况类似.现要与另一区域的同一个网段(比如192.168.100.X)互相通讯,而其他网段的设备不出现网路冲突.如果直接接上交换机就会有很多ip冲突,在双网卡无法实现而ip又不能更改的情况下,这该怎么办呢?

就是内网没规划好,现在两个网段的设备想互通结果发现IP段冲突了,对吧?

最最理想的方式自然是网路重构,把该整理的整理了,把IP规划好。其他的答案给的方案基本上都是基于此,所以这个就不多说了,也没什么好多说的。

现实情况是重构网路成本巨大,估计你要是能做早就做了,也就不来这里问了。

我给你两个相对经济实惠的方案吧,有具体的需求也可以单独找我。

方案1:经典双NAT方案

假设网路A要访问网路B的192.168.100.50,那就访问自己网路的192.168.100.101

natbox-a负责把DST=192.168.100.101的包nat成src=10.10.0.1 dst=10.10.0.2的包然后从另一个口送出去。

包进入natbox-b,b负责把这个包再nat成src=192.168.0.201 dst=192.168.100.50,然后扔到B网路。

这样就能通了。

专用的natbox设备不好找,某种程度上来讲也过时了。现在可以用nanopi r2s什么的来做,两个也不贵。

优点:通用性高,设定相对简单,量产容易

缺点:要两个natbox

方案2:风骚的iptable+路由表方案

  • eth0进来的打标记
  • 打标记的包做好nat
  • ip rule add fwmark把打了标记的包转到指定的路由表
  • 从eth1送出去

设备就用上面那个nanopi r2s就行。

优点:单机解决,成本更低,更可靠。灵活性高

缺点:需要考虑的东西多,不太适合量产。

直接上交换机!

然后假设一台dhcp伺服器,为两个区域统一分配ip地址。只要两个区域arp可达,没有ip冲突,即可相互访问

你这样的情况要做比较大的整改,一般有两个办法:

  1. 通过三层交换机来划分VLAN,不同网段的设备接在不同的二层交换机上。通过三层交换机来实现各个VLAN之间的互通。
  2. 通过路由器/网关来划分VLAN,一般是一个内网口一个网段,接到不同网段的二层交换机。如下图:

如果网段比较多推荐用三层交换机,网段不多直接用路由器划分即可。

两个域之间上一个边界路由器,需要互联的两个网段各自划出一半地址给对面使用,用这些地址配置静态NAT,也就是双NAT方案,很成熟的方案了都有现成的设备直接买就行

可以用交换机。在A、B交换机设上路由,防火墙设置策略放通

如果你要更详细的方案,应该要补充问题,比如你有多少台设备,准备划分多少网段,出口网路是怎么样的,现阶段的网路拓扑是怎么样的。

比如你说到内部区域设置了很多不同的网段,又提到直接上交换机会有很多IP冲突,那可能你有多个路由器,那么有些路由器用了同样的网段(比如192.168.100.0/24),这是我推导出来的,但有可能你现实不是这样。

然后就是打算用多少预算来解决,不计成本只考虑性能呢,越便宜越好呢,还是怎么样?

在网段隔离上你要做到什么地步,如果只是简单的网段隔离不用VLAN就可以,设置不同的网段就好这样甚至可以做到不同网段也能互访,但缺点是使用人可以自己修改IP段就能访问了其他网段了。如果安全级别高,那就要上VLAN,这样一来除非使用人搬动电脑位置不然是无法通过简单的修改自己电脑的IP段来访问其他网段。

划vlan

用vlan就行,看情况应该是对网路不熟,这两天找本na教材或者视频潜心学两天就解决了。

推荐阅读:
相关文章