Phương pháp tái cấu trúc mạng cho mạng Double-NAT

Do một loạt các quyết định thiết kế mạng kém (hầu hết) được đưa ra từ nhiều năm trước để tiết kiệm một vài đô la ở đây và đó, tôi có một mạng lưới được quyết định tối ưu hóa kiến ​​trúc. Tôi đang tìm kiếm đề xuất để cải thiện tình trạng ít dễ chịu này.

Chúng tôi là một tổ chức phi lợi nhuận với bộ phận CNTT dựa trên Linux và ngân sách hạn chế. (Lưu ý: Không có thiết bị Windows nào chúng tôi chạy không làm bất cứ điều gì nói chuyện với Internet cũng như chúng tôi không có bất kỳ quản trị viên Windows nào trong đội ngũ nhân viên.)

Những điểm chính:

• Chúng tôi có một văn phòng chính và khoảng 12 trang web từ xa về cơ bản gấp đôi NAT các mạng con của chúng với các công tắc được tách biệt về mặt vật lý. (Không có Vlaning và khả năng hạn chế để làm như vậy với các thiết bị chuyển mạch hiện tại)
• Các vị trí này có mạng con "DMZ" là NAT trên mạng con 10.0.0 / 24 được gán chính xác tại mỗi trang web. Các mạng con này không thể nói chuyện với DMZ tại bất kỳ vị trí nào khác vì chúng tôi không định tuyến chúng ở bất cứ đâu ngoại trừ giữa máy chủ và "tường lửa" liền kề.
• Một số vị trí này có nhiều kết nối ISP (T1, Cáp và / hoặc DSL) mà chúng tôi định tuyến thủ công bằng cách sử dụng Công cụ IP trong Linux. Các tường lửa này đều chạy trên mạng (10.0.0 / 24) và hầu hết là tường lửa loại "pro-sumer" (Linksys, Netgear, v.v.) hoặc modem DSL do ISP cung cấp.
• Kết nối các tường lửa này (thông qua các công tắc không được quản lý đơn giản) là một hoặc nhiều máy chủ phải có thể truy cập công khai.
• Được kết nối với mạng con 10.0.0 / 24 của văn phòng chính là các máy chủ cho email, VPN tele-commuter, máy chủ VPN văn phòng từ xa, bộ định tuyến chính với các mạng con 192.168 / 24 bên trong. Chúng phải được truy cập từ các kết nối ISP cụ thể dựa trên loại lưu lượng truy cập và nguồn kết nối.
• Tất cả các định tuyến của chúng tôi được thực hiện thủ công hoặc với các câu lệnh tuyến OpenVPN
• Lưu lượng giữa các văn phòng đi qua dịch vụ OpenVPN trong máy chủ 'Bộ định tuyến' chính có liên quan đến NAT.
• Các trang web từ xa chỉ có một máy chủ được cài đặt tại mỗi trang web và không thể đủ khả năng cho nhiều máy chủ do hạn chế về ngân sách. Các máy chủ này là tất cả các máy chủ LTSP, một số thiết bị đầu cuối 5-20.
• Các mạng con 192.168.2 / 24 và 192.168.3 / 24 chủ yếu nhưng KHÔNG hoàn toàn trên các thiết bị chuyển mạch Cisco 2960 có thể thực hiện Vlan. Phần còn lại là các thiết bị chuyển mạch DLink DGS-1248 mà tôi không chắc mình đủ tin tưởng để sử dụng với Vlan. Ngoài ra còn có một số mối quan tâm nội bộ còn lại về Vlan vì chỉ có nhân viên mạng cao cấp mới hiểu cách thức hoạt động của nó.

Tất cả lưu lượng truy cập internet thông thường đều đi qua máy chủ bộ định tuyến CentOS 5, lần lượt NAT các mạng con 192.168 / 24 thành các mạng con 10.0.0.0/24 theo các quy tắc định tuyến được định cấu hình thủ công mà chúng tôi sử dụng để hướng lưu lượng truy cập đi đến kết nối internet phù hợp dựa trên Các câu lệnh định tuyến '-host'.

Tôi muốn đơn giản hóa điều này và sẵn sàng ảo hóa All Of The Things cho ESXi, bao gồm cả các dịch vụ công khai này. Có giải pháp nào không hoặc chi phí thấp sẽ loại bỏ Double-NAT và khôi phục một chút tỉnh táo cho mớ hỗn độn này để sự thay thế trong tương lai của tôi không săn lùng tôi?

Sơ đồ cơ bản cho văn phòng chính:

Đây là những mục tiêu của tôi:

• Máy chủ đối mặt công khai với giao diện trên mạng 10.0.0 / 24 giữa đó sẽ được chuyển sang mạng con 192.168.2 / 24 trên các máy chủ ESXi.
• Loại bỏ NAT kép và nhận toàn bộ mạng của chúng tôi trên một mạng con duy nhất. Tôi hiểu rằng đây là điều chúng ta sẽ cần phải làm theo IPv6, nhưng tôi nghĩ rằng mớ hỗn độn này đang cản trở.

1.) Trước khi về cơ bản, mọi thứ khác đều có kế hoạch đánh địa chỉ IP của bạn. Thật đau đớn khi đánh số lại nhưng đó là bước cần thiết để đến một cơ sở hạ tầng hoàn toàn khả thi. Đặt các supernets lớn, dễ dàng tóm tắt sang một bên cho các máy trạm, máy chủ, trang web từ xa (với IP duy nhất, tự nhiên), mạng quản lý, loopback, v.v. Có rất nhiều không gian RFC1918 và giá cả phù hợp.

2.) Thật khó để hiểu được cách bố trí L2 trong mạng của bạn dựa trên sơ đồ trên. Vlan có thể không cần thiết nếu bạn có đủ số lượng giao diện trong các cổng khác nhau cũng như đủ số lượng thiết bị chuyển mạch. Khi bạn đã hiểu được ý nghĩa số 1, có thể có ý nghĩa để áp dụng lại câu hỏi L2 một cách riêng biệt. Điều đó nói rằng, Vlan không phải là một bộ công nghệ đặc biệt phức tạp hoặc mới lạ và không cần phức tạp đến thế. Một số lượng đào tạo cơ bản nhất định theo thứ tự, nhưng ở mức tối thiểu, khả năng tách một công tắc tiêu chuẩn thành một số nhóm cổng (tức là không có trung kế) có thể tiết kiệm rất nhiều tiền.

3.) Các máy chủ DMZ có thể được đặt trên các mạng L2 / L3 của riêng chúng, không được hợp nhất với các máy trạm. Lý tưởng nhất là bạn có bộ định tuyến biên của mình được kết nối với thiết bị L3 (một bộ định tuyến khác? Công tắc L3?), Đến lượt nó, sẽ kết nối một mạng chứa giao diện máy chủ đối diện bên ngoài của bạn (máy chủ SMTP, v.v.). Các máy chủ này có thể sẽ kết nối lại với một mạng riêng biệt hoặc (ít tối ưu hơn) với một mạng con máy chủ chung. Nếu bạn đã đặt các mạng con của mình một cách thích hợp thì các tuyến tĩnh cần thiết để điều hướng lưu lượng truy cập vào sẽ rất đơn giản.

3a.) Cố gắng tách các mạng VPN khỏi các dịch vụ gửi đến khác. Điều này sẽ làm cho mọi thứ dễ dàng hơn như giám sát an ninh, xử lý sự cố, kế toán, v.v.

4.) Không hợp nhất các kết nối Internet của bạn và / hoặc định tuyến một mạng con thông qua một số nhà mạng (đọc: BGP) bạn sẽ cần bước nhảy trung gian trước các bộ định tuyến biên của mình để có thể chuyển hướng lưu lượng truy cập trong và ngoài một cách thích hợp (như Tôi nghi ngờ bạn đang làm vào lúc này). Điều này có vẻ như là một vấn đề đau đầu lớn hơn Vlan, nhưng tôi cho rằng tất cả đều tương đối.