內部區域裡面設置了很多不同網段,設備只在同一網段的情況下能夠互訪,另一區域情況類似.現要與另一區域的同一個網段(比如192.168.100.X)互相通訊,而其他網段的設備不出現網路衝突.如果直接接上交換機就會有很多ip衝突,在雙網卡無法實現而ip又不能更改的情況下,這該怎麼辦呢?

就是內網沒規劃好,現在兩個網段的設備想互通結果發現IP段衝突了,對吧?

最最理想的方式自然是網路重構,把該整理的整理了,把IP規劃好。其他的答案給的方案基本上都是基於此,所以這個就不多說了,也沒什麼好多說的。

現實情況是重構網路成本巨大,估計你要是能做早就做了,也就不來這裡問了。

我給你兩個相對經濟實惠的方案吧,有具體的需求也可以單獨找我。

方案1:經典雙NAT方案

假設網路A要訪問網路B的192.168.100.50,那就訪問自己網路的192.168.100.101

natbox-a負責把DST=192.168.100.101的包nat成src=10.10.0.1 dst=10.10.0.2的包然後從另一個口送出去。

包進入natbox-b,b負責把這個包再nat成src=192.168.0.201 dst=192.168.100.50,然後扔到B網路。

這樣就能通了。

專用的natbox設備不好找,某種程度上來講也過時了。現在可以用nanopi r2s什麼的來做,兩個也不貴。

優點:通用性高,設定相對簡單,量產容易

缺點:要兩個natbox

方案2:風騷的iptable+路由表方案

  • eth0進來的打標記
  • 打標記的包做好nat
  • ip rule add fwmark把打了標記的包轉到指定的路由表
  • 從eth1送出去

設備就用上面那個nanopi r2s就行。

優點:單機解決,成本更低,更可靠。靈活性高

缺點:需要考慮的東西多,不太適合量產。

直接上交換機!

然後假設一臺dhcp伺服器,為兩個區域統一分配ip地址。只要兩個區域arp可達,沒有ip衝突,即可相互訪問

你這樣的情況要做比較大的整改,一般有兩個辦法:

  1. 通過三層交換機來劃分VLAN,不同網段的設備接在不同的二層交換機上。通過三層交換機來實現各個VLAN之間的互通。
  2. 通過路由器/網關來劃分VLAN,一般是一個內網口一個網段,接到不同網段的二層交換機。如下圖:

如果網段比較多推薦用三層交換機,網段不多直接用路由器劃分即可。

兩個域之間上一個邊界路由器,需要互聯的兩個網段各自劃出一半地址給對面使用,用這些地址配置靜態NAT,也就是雙NAT方案,很成熟的方案了都有現成的設備直接買就行

可以用交換機。在A、B交換機設上路由,防火牆設置策略放通

如果你要更詳細的方案,應該要補充問題,比如你有多少臺設備,準備劃分多少網段,出口網路是怎麼樣的,現階段的網路拓撲是怎麼樣的。

比如你說到內部區域設置了很多不同的網段,又提到直接上交換機會有很多IP衝突,那可能你有多個路由器,那麼有些路由器用了同樣的網段(比如192.168.100.0/24),這是我推導出來的,但有可能你現實不是這樣。

然後就是打算用多少預算來解決,不計成本只考慮性能呢,越便宜越好呢,還是怎麼樣?

在網段隔離上你要做到什麼地步,如果只是簡單的網段隔離不用VLAN就可以,設置不同的網段就好這樣甚至可以做到不同網段也能互訪,但缺點是使用人可以自己修改IP段就能訪問了其他網段了。如果安全級別高,那就要上VLAN,這樣一來除非使用人搬動電腦位置不然是無法通過簡單的修改自己電腦的IP段來訪問其他網段。

劃vlan

用vlan就行,看情況應該是對網路不熟,這兩天找本na教材或者視頻潛心學兩天就解決了。

推薦閱讀:
相關文章