異なるWAN上の同じサブネットから2つのIPを持つこの混乱したルーティングシナリオを修正するにはどうすればよいですか?

今日私たちは、私たちの大学の2つの大きな部門を管理しており、政治的決定の後、両方の部門がITサービスに力を入れています。このため、私たちはコアネットワークを統一しようとしていますが、これは簡単ではないようです。

どちらの部門も公共のIPv4アドレスを持つ巨大なルーティングインフラストラクチャを運営しており、そのうちの1つだけがクライアント向けにNATを持っています。しかし、問題はここにはありません。問題は私たちのWANリンクです。彼らはそれが栄光で "壊れたTCPネットワーク"です:)

この問題を説明する。 WANの静的アドレスは次のとおりです。

  • 部1:192.0.2.195/26
  • 学科2:192.0.2.196/26
  • 共通ゲートウェイ:192.0.2.193/26

したがって、両方のWANリンクが同じサブネット上にあるのがわかるように、これは問題です.Dept#1には7/24のルーテッドネットワークがあり、Dept#2には3/24ルーテッドネットワークがそれぞれのIPを次に指しているためですルーティングテーブルのホップ。

TCP/IPネットワーキングでは、同じサブネットの2つのアドレスを1つのハードウェアで使用することはできないため、これらのアドレスを同じ機器で使用することはできません。基本的には、ルートを処理するレイヤ3デバイスと、統合されたコアにネットワークをマージした後に、レイヤ3デバイスを配置する必要があります。

ここでの問題はこれを行う方法です。今日私たちはこれを行うための2つのpfenseファイアウォールを持っていますが、これらのファイアウォールをマージして両方のネットワークでHAに入れることを望んでいますが、これを行うことはできません。

私は、Nexus 3048コアスイッチでVRFを使用したアイデアをいくつか持っていますが、VRFをこのように使うべきかどうかは分かりません。

両方の機器のルーティングテーブルは次のとおりです。

Dept #1:

% interfaces
WAN (wan)       -> bce0        -> v4: 192.0.2.195/26
LAN (lan)       -> bce1        -> v4: 100.64.36.1/24

% netstat -nr
Routing tables

Internet:
Destination        Gateway            Flags      Netif Expire
default            192.0.2.193        UGS        bce0
10.3.12.0/24       100.64.36.36       UGS        bce1
127.0.0.1          link#5             UH          lo0
192.0.2.192/26     link#1             U          bce0
192.0.2.195        link#1             UHS         lo0
100.64.36.0/24     link#2             U          bce1
100.64.36.1        link#2             UHS         lo0
100.64.37.0/24     100.64.36.36       UGS        bce1
100.64.40.0/26     100.64.36.36       UGS        bce1
100.64.40.64/26    100.64.36.36       UGS        bce1
100.64.40.128/26   100.64.36.36       UGS        bce1
100.64.40.192/26   100.64.36.36       UGS        bce1
100.64.136.0/22    100.64.36.36       UGS        bce1
198.51.100.0/24    100.64.36.35       UGS        bce1

Dept #2:

% interfaces
WAN (wan)       -> bce0        -> v4: 192.0.2.196/26
LAN (lan)       -> em0         -> v4: 172.16.0.1/21
MGMT (opt1)     -> em1         -> v4: 10.7.0.1/24
SRV (opt2)      -> em1_vlan29  -> v4: 100.64.29.1/24
VPN (opt3)      -> em1_vlan11  -> v4: 192.168.172.254/24
LIG (opt4)      -> em0_vlan666 -> v4: 172.26.66.30/27

% netstat -nr
Routing tables

Internet:
Destination        Gateway            Flags      Netif Expire
default            192.0.2.193        UGS        bce0
10.7.0.0/24        link#3             U           em1
10.7.0.1           link#3             UHS         lo0
10.172.16.0/26     link#2             U           em0
10.172.16.1        link#2             UHS         lo0
127.0.0.1          link#6             UH          lo0
192.0.2.192/26     link#1             U          bce0
192.0.2.196        link#1             UHS         lo0
100.64.29.0/24     link#8             U      em1_vlan
100.64.29.1        link#8             UHS         lo0
100.64.30.0/26     link#2             U           em0
100.64.30.1        link#2             UHS         lo0
100.64.30.64/26    link#2             U           em0
100.64.30.65       link#2             UHS         lo0
100.64.30.128/26   link#2             U           em0
100.64.30.129      link#2             UHS         lo0
100.64.30.192/26   link#2             U           em0
100.64.30.193      link#2             UHS         lo0
172.16.0.0/21      link#2             U           em0
172.16.0.1         link#2             UHS         lo0
172.26.66.0/27     link#10            U      em0_vlan
172.26.66.30       link#10            UHS         lo0
192.168.172.0/24   link#9             U      em1_vlan
192.168.172.254    link#9             UHS         lo0

ご覧のとおり、私たちはたくさんのネットワークを持っています。私は 100.64/10 の範囲とWANリンクを 192.0.2/24 の範囲に変更して、公開IPv4を一般的なものに変更しました。

たとえば、一部のデバイス(コアスイッチなど)でWANリンクを処理して、統合されたファイアウォールでLANアドレスを使用すれば、問題は解決されます。

最後に、私はWANルーティングテーブルの様子を推測することができます。それは次のようなものでなければなりません:

Routing tables

Internet:
Destination        Gateway            Flags      Netif Expire
192.0.2.192/26     link#1             ?          switchport24
192.0.2.193        link#1             ?          loopback0
100.64.29.0/24     192.0.2.196        ?          switchport6
100.64.30.0/24     192.0.2.196        ?          switchport6
100.64.146.0/24    192.0.2.196        ?          switchport6
100.64.36.0/23     192.0.2.195        ?          switchport5
100.64.40.0/24     192.0.2.195        ?          switchport5
100.64.136.0/22    192.0.2.195        ?          switchport5

また、このテーブルはアクセスできないため変更できません。

前もって感謝します。

PS1:「WAN」アーキテクチャを担当する人たちと話すことは、今は不可能です。だから私たちはWANアドレス空間上の何も変更せずに方法を見つけなければなりません。

PS2:すべてが静的ルートで構築されている場合、誰がルーティングプロトコルを必要とするのですか:(

EDIT: Drawning and long story short.

今日:

+----------------+       +------------------+       
|                | ----> | Firewall Dept #1 | -----------\
|                |       | 192.0.2.195/26   |            |
| Switch         |       +------------------+       +---------------+
| Layer 2 (WAN)  |                                  | Internal Core |
| 192.0.2.193/26 |       +------------------+       +---------------+
|                |       | Firewall Dept #2 |            |
|                | ----> | 192.0.2.196/26   | -----------/
+----------------+       +------------------+

私たちが欲しいもの:

+----------------+       + -----------------+
| Layer 2 (WAN)  |       | Unified Firewall |       +---------------+
| 192.0.2.193/26 | ----> | 192.0.2.195/26   | ----- | Internal Core |
|                | ----> | 192.0.2.196/26   |       +---------------+
+----------------+       +------------------+

ルーティングテーブル - 実際には公的なIPv4ネットワークです。一般的にするために 100.64/10 ネットワークに変更しました。

100.64.29.0/24  gw 192.0.2.196
100.64.30.0/24  gw 192.0.2.196
100.64.36.0/23  gw 192.0.2.195
100.64.40.0/24  gw 192.0.2.195
100.64.136.0/22 gw 192.0.2.195
100.64.146.0/24 gw 192.0.2.196

問題:

  • レイヤ2スイッチの管理はありません。
  • 私たちの管理はファイアウォールから始まります。
  • レイヤ2スイッチのセキュリティポリシーのために、レイヤ2スイッチのケーブルを使用してファイアウォール上の2つのIPをバインドすることはできません。したがって、両方のケーブルを別々のネットワークに接続する必要があります。
  • ファイアウォールのIPv4プールからいくつかのアドレスを使用することができますが、これを行うにはファイアウォールの前に事前にルーティングする必要があります。私はこのために "内部コア"を使うことができますが、私は方法が分かりません。
  • 別のルータがこれを解決します。
  • Cisco Nexus 3048スイッチがありますので、この人にいくつかのウィザードを実行できます。だから私はVRFについて最初に言及したのです。
0
合併する企業にはこの問題がしばしばあります。これは通常、オリジナルの企業の一方または両方がネットワークを再レイアウトするまで、一時的な対策としてNATで処理されます。
追加された 著者 Ron Maupin,
私が言及しているのは、重複するアドレス空間を持つ各部門が独自のルータを持ち、それらが共通のルータに接続できることです。各部門がプライベートでないアドレス空間を使用していて、それが同じアドレス空間である場合、あなたは本当の問題を抱えています。それは、住所や部門や会社全体を読むことは容易ではありませんが、あなたがしなければならないことをします。合併する企業は常にこの問題に直面しています。
追加された 著者 Ron Maupin,
答えがあなたを助けましたか?そうであれば、答えを受け入れて、質問が永遠にポップアップしないようにして、答えを探してください。あるいは、あなた自身の答えを提供して受け入れることもできます。
追加された 著者 Ron Maupin,
こんにちは、ロン、返信いただきありがとうございます。しかし、私はこれが当てはまるかどうかわかりません。我々はNATを持っていない、無効にすることができる特別な場合だけです。ここにあるすべてのものは、実際に公開されているIPv4アドレスです。この問題は、悪いWANアドレスで再開されます。それらは、/ 30または/ 31の別個のアドレスであり、同じ/ 26のサブネット上に存在してはならない。私は今明らかになったと思う。私はこの問題が本当に具体的だと思います。それが私の道のりです。私はアドレスを100.64/10の範囲に変更して、それを一般的なものにしておきました。すべてのアドレスは実際のIPv4であり、ワイヤレス上の電話機であっても実際のIPv4アドレスを取得します。
追加された 著者 JWizard,
あなたがテーブルを見れば、オーバーラップアドレスはありません:) #chatで話すことはできますか?私は問題をよりよく説明しようとします。
追加された 著者 JWizard,

2 答え

公正な質問ですが、それはあまりにも言い方です。基本的には、重複しないようにIPアドレスを変更してください。それが答えです。早くやれよ。いくつかのbandaid NATのハックには、それを続ける意味がありません。サブネットマスクを/ 24に変更します。複雑にしないでおく。

1
追加された

私たちがチャットした会話に基づいて、私は本当に問題を見ません。同じネットワーク内に複数のインターフェイスを持つルータが存在するケースはたくさんあります。レイヤー2を介して接続するだけです:

enter image description here

R1とR2は2つの部門のルーター、R3は共通のルーターです。 S1は3つのルータすべてを接続するレイヤ2スイッチです。各ルータに、他のルータの背後にある経路、静的に構成されている(縮尺は変わっていない)、または共通のルーティングプロトコルであることを知るための方法が必要です。

これは基本的なネットワーキングですが、それは完全に受け入れられ、まれではありません。

0
追加された
あなたが言うことは、あなたが望むものではありません。ファイアウォールの1つのアドレスまたは他のアドレスを選び、弾丸を噛んで、再ドレスする必要のあるものを読んでください。あなたがネットワークを支配しているなら、それは容易ではないにしても、実行可能でなければならない。さもなければ、私が概説したようにそれを行うことができます。また、必要ならR3はルータの代わりに透明なファイアウォールにすることができます。
追加された 著者 Ron Maupin,
@ViníciusFerrão、いいえ。あなたは1つのアドレスの裏側からすべてのネットワークにアクセスすることができます。あるいは、R1とR2に対して透過的なファイアウォールを使用して、異なるアドレスから異なるネットワークに到達し続けることができます。私は本当にあなたがこれを思っていると思っています。たとえば、1つのアドレスからすべてのネットワークにアクセスできないのはなぜですか?それがルーティングの背後にあるアイデアです。ルータはその背後にあるすべてのアドレスにアクセスする方法を知っており、他のルータはそれらのアドレスに行くことを知っている必要があります。
追加された 著者 Ron Maupin,
@ViníciusFerrão、私はあなたが追加した図面にあなたのファイアウォールのために1つのアドレスまたは他のアドレスを持つことができない理由は分かりません。どんなものであってもかまいません。それはどのアドレスがそれの背後にあるかWANに広告するでしょう。
追加された 著者 Ron Maupin,
次に、静的ルートを変更するか、ルーティングプロトコルを使用する必要があります。または、WANに透過的なファイアウォールを使用して2つのルータを前面に配置する方法を提案しています。設計がうまくいかなかったネットワークを修正する必要があります。それは一方的に行うのが好都合なようですが、ベストプラクティスを無視することは、後で非常に苦痛です。これは、ネットワークを正しく修正する時期です。
追加された 著者 Ron Maupin,
私はあなたのネットワークにいくつかのオプションを与えました。 2つのルータの前面にある透過的なファイアウォールは、各WANアドレスごとに1つで、必要なものを提供します。
追加された 著者 Ron Maupin,
ロン私は図面をやった。あなたのシナリオではそれは問題なくOKですが、そうではありません。私のドローイングが今十分に良いかどうか見てください。私たちの問題に時間を費やしてくれてありがとう。
追加された 著者 JWizard,
我々は収束している。一部のネットワークは、192.0.2.195と192.0.2.196以上のものにしか到達できません。異なる住所。そういうわけで私たちは両方のIPの作業が必要です。私が考えていたのは、ファイアウォールの前に何かを置いて予告することでした。
追加された 著者 JWizard,
すべて静的ルーティングです。大学ではルーティングプロトコルが有効になっていないため、広告はありません。
追加された 著者 JWizard,
私はそれが修正されるべきであることに同意する。しかし、私はこれに責任があるわけではありません。私はなぜ助けを求めているのですか?私は私の側を修正しようとしている、私は "ISP"を修正することはできません。彼らのルーティングテーブルは不変です。これにより問題が明確になることを期待しています。ルーティングテーブルを変更するように依頼する方がはるかに良いでしょうが、そうではありません。
追加された 著者 JWizard,