作者 主題: 路由器可以這樣應用嗎?  (閱讀 3197 次)

0 會員 與 1 訪客 正在閱讀本文。

oscarhsu

  • 懷疑的國中生
  • **
  • 文章數: 84
  • 性別: 男
    • 檢視個人資料
路由器可以這樣應用嗎?
« 於: 2014-03-30 21:50 »
各位大大好,之前很久沒有出現在酷學園版上,今天很開心能回來,但真的是「無事不登三寶殿」,今天來有一個有趣的問題想跟各位大大請教。

事情是,我們實驗室網路要重新分配,我想把它串成一個區域網路,大家可以高速分享資源,但是有些人需要用實體IP對外連絡,有些人要給他虛擬IP,如下限制:
1.實體IP不夠用,不能每台都用這種IP來共享資源
2.網路印表機等設備是用虛擬IP,故只有虛擬IP電腦能存取,除非改IP分享器,但這樣會產生更多問題。
3.將電腦躲在IP分享器後面,比較安全,不用叫他們要弄什麼防火牆。
4.架站server或NAS要用實體IP,如果用虛擬IP,設定分享器會瘋掉。

所以我想幫實驗室買一個路由器做這種應用,不知道可不可以:
將實驗室全部設備設成實體IP,但IP範圍會超過我們可以用的範圍,重點是,server的IP都設合法的,其它設備都是不合法的。而路由器的作用就是,將合法的IP直接對外,不合法的IP以IP分享器的方式,經由一個合法的IP連出去。我以如下的例子說明:

我們實驗室的合法範圍
140.118.126.20~140.118.126.40


預訂實驗室內部的範圍(可直接共享資源)
140.118.126.20~140.118.126.200

故尾碼20~40之外的IP,都是不合法的,需經由IP分享器的合法IP出去。
而尾碼20~40內的IP,可直接連外,不需額外設定。



不知道這樣的想法,路由器有沒有辦法做到,IP table會不會很難設定?
« 上次編輯: 2014-03-30 21:53 由 oscarhsu »
Oscar Hsu

netman

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 17340
    • 檢視個人資料
    • http://www.study-area.org
Re: 路由器可以這樣應用嗎?
« 回覆 #1 於: 2014-03-31 07:57 »
沒獲授權的 IP 就不要設了,會造成 IP Conflict 。

先把全部電腦都配成 private IP,然後 server 多陪一個 public IP 上去。
server 的 gateway 指到原本的 router
其他用 private IP 的 gateway 指到 IP 分享去...

darkranger

  • 榮譽學長
  • 俺是博士!
  • *****
  • 文章數: 1351
    • 檢視個人資料
    • http://darkranger.no-ip.org
Re: 路由器可以這樣應用嗎?
« 回覆 #2 於: 2014-03-31 10:47 »
public IP 不夠用,有沒有想過部份服務用 VPN + private IP 解決?

oscarhsu

  • 懷疑的國中生
  • **
  • 文章數: 84
  • 性別: 男
    • 檢視個人資料
Re: 路由器可以這樣應用嗎?
« 回覆 #3 於: 2014-03-31 12:42 »
沒獲授權的 IP 就不要設了,會造成 IP Conflict 。

先把全部電腦都配成 private IP,然後 server 多陪一個 public IP 上去。
server 的 gateway 指到原本的 router
其他用 private IP 的 gateway 指到 IP 分享去...

謝謝Netman大大的解答。
另外我想問,我們的router要買上萬元的那種比較好,還是買幾千元的IP分享器當router用就好? 買萬元的router是考量可以做更複雜的設定,順便學習。
Oscar Hsu

oscarhsu

  • 懷疑的國中生
  • **
  • 文章數: 84
  • 性別: 男
    • 檢視個人資料
Re: 路由器可以這樣應用嗎?
« 回覆 #4 於: 2014-03-31 12:44 »
public IP 不夠用,有沒有想過部份服務用 VPN + private IP 解決?
也就是說實體IP的電腦用VPN連到私人網路嗎? 設定上會比較麻煩吧?
感謝darkranger大大的答案。
Oscar Hsu

rainday

  • 鑽研的研究生
  • *****
  • 文章數: 737
  • 性別: 男
  • enhancing and optimizing
    • 檢視個人資料
Re: 路由器可以這樣應用嗎?
« 回覆 #5 於: 2014-04-10 22:12 »
怎麼覺得這是要防火牆,而不是路由器
你要做的NAT mapping或是限制都是防火牆在做的
一般的分享器裡是沒有你要的內外IP相互對映獨立設定的
<0  =_=  Don't learn to hack , hack to learn.

ruilung

  • 可愛的小學生
  • *
  • 文章數: 1
    • 檢視個人資料
Re: 路由器可以這樣應用嗎?
« 回覆 #6 於: 2014-04-16 09:01 »
事情是,我們實驗室網路要重新分配,我想把它串成一個區域網路,大家可以高速分享資源,但是有些人需要用實體IP對外連絡,有些人要給他虛擬IP,如下限制:
>>用一個1G或10G的switch把大家串起來,內部用dhcp伺服器,派發IP供電腦使用,或者手動設定IP,dhcp與手動ip設定range使用private ip,如192.168.200.1~255

1.實體IP不夠用,不能每台都用這種IP來共享資源
>>用NAT解這個問題

2.網路印表機等設備是用虛擬IP,故只有虛擬IP電腦能存取,除非改IP分享器,但這樣會產生更多問題。
>>沒錯只有private IP能存取,沒必要讓internet上的人可以存取印表機

3.將電腦躲在IP分享器後面,比較安全,不用叫他們要弄什麼防火牆。
>>嗯,啊...基本上沒錯.....

4.架站server或NAS要用實體IP,如果用虛擬IP,設定分享器會瘋掉。
>>這裡可能不應該這樣說,架站要給internet上的使用者用,那一定要用public ip,但是public ip不一定要綁在伺服器上
>>可以使用fw做轉服務轉址,讓內部的服務映射到外部internet中
>>設定不會讓人瘋掉的,大部份的人都是這樣做的

所以我想幫實驗室買一個路由器做這種應用,不知道可不可以:
>>應該買fw /ngfw /utm,或者自架,看您的預算,自架的話可以選用pfsense (基本fw,懂網路就覺得設定簡單) 或Untangle(基本utm,有多一些防毒等的功能)

將實驗室全部設備設成實體IP,但IP範圍會超過我們可以用的範圍,重點是,server的IP都設合法的,其它設備都是不合法的。而路由器的作用就是,將合法的IP直接對外,不合法的IP以IP分享器的方式,經由一個合法的IP連出去。我以如下的例子說明:
>>這個對到上面第四點解決

我們實驗室的合法範圍
140.118.126.20~140.118.126.40
>>這裡OK

預訂實驗室內部的範圍(可直接共享資源)
140.118.126.20~140.118.126.200
>>這裡不對,140.118.x.x是internet ip
>>內部應改用private ip->192.168.x.x 或172.x.x.x或10.x.x.x

oscarhsu

  • 懷疑的國中生
  • **
  • 文章數: 84
  • 性別: 男
    • 檢視個人資料
Re: 路由器可以這樣應用嗎?
« 回覆 #7 於: 2014-12-04 15:30 »
我把我的解決方法放在另一個主題:

http://phorum.study-area.org/index.php/topic,70268.0.html
Oscar Hsu