請教這樣的架構設定是否正確?(附圖)



贊助商連結


spplkk2003
2012-03-30, 12:02 AM
http://farm8.staticflickr.com/7258/6880908976_92931a4af3.jpg

如上圖,有兩個實體IP,經由兩台IP分享器
再回到同一台SERVER(有兩張網卡)

兩個實體IP的用途是開2個網站用。

希望的狀況是虛擬IP192.168.0.1和192.168.1.1可以互相PING的到。
以方便內部其他台電腦管理。基本上目前區網內的其他電腦都是接在
ROUTER2後面,但都看不到ROUTER1~

是否少了什麼設定?謝謝。

贊助商連結


bx2aa
2012-03-30, 01:10 AM
Server 要開啟 Router
Microsoft 要開 IPEnableRouter
reg add "HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters" /v IPEnableRouter /t REG_DWORD /d "1" /f
Windows 防火牆最好關了省得還要查問題

Linux 要下
echo "1">/proc/sys/net/ipv4/ip_forward
iptables 要放或是 INPUT OUTPUT FORWARD鏈 改為 ACCEPT( #iptables -P FORWARD ACCEPT )或乾脆關了(#service iptables stop )
selinux 也關了, 省得要查哪個要開也麻煩.

等都正常在來查開 Selinux 的哪個.

Client 端要加路由
route add -p 192.168.0.0 mask 255.255.255.0 192.168.1.132
Router 1 要加路由傳回去 192.168.1.0 255.255.255.0 192.168.0.131

不然就是 Router1 不要開 DHCP Server , 把 LAN port 其中一 port 接到 Router 2 的 LAN port
這樣其餘所有 Server 和 Client 都不用動.

另一個方法是 SERVER 把兩張網卡做 Bridge 這樣其餘就完全不用動.

tvirus
2012-03-30, 09:56 AM
router1跟router2的LAN端接一條線連起來...(看起來你的netmask是已經設好了)
不過,如果有開DHCP,那就尷尬了...

不然就照bx2aa的方式弄好了,雖然是所有電腦都要手動新增內部用靜態路由...

spplkk2003
2012-03-30, 02:39 PM
先謝謝前面兩位網兄的指導。
小弟架的是windows2003 server 標準版

請教若router1不開DHCP,LAN PORT 接過去。
綁定虛擬IP192.168.0.131對映真實IP12.34.56.7和開啟PORT做NAT的動作於ROUTER1
或ROUTER2設定?(目前兩台都無法對映多IP功能)

另外用BRIDGE的做法該如何做可否告知,在效能上是否會降低??謝謝。
我GOOGLE了windows2003大部份皆只有大略流程。

比較傾向用方法1的方式ROUNTER1 LAN<==>ROUTER2 LAN的方式解決。
橋接模式是個人想學習一下,以備不時之需。

再次感謝。
.





不然就是 Router1 不要開 DHCP Server , 把 LAN port 其中一 port 接到 Router 2 的 LAN port
這樣其餘所有 Server 和 Client 都不用動.

另一個方法是 SERVER 把兩張網卡做 Bridge 這樣其餘就完全不用動.

bx2aa
2012-03-31, 01:12 PM
先謝謝前面兩位網兄的指導。
小弟架的是windows2003 server 標準版

請教若router1不開DHCP,LAN PORT 接過去。
綁定虛擬IP192.168.0.131對映真實IP12.34.56.7和開啟PORT做NAT的動作於ROUTER1
或ROUTER2設定?(目前兩台都無法對映多IP功能)

另外用BRIDGE的做法該如何做可否告知,在效能上是否會降低??謝謝。
我GOOGLE了windows2003大部份皆只有大略流程。

比較傾向用方法1的方式ROUNTER1 LAN<==>ROUTER2 LAN的方式解決。
橋接模式是個人想學習一下,以備不時之需。

再次感謝。
.

SERVER SUBNET MASK 要改為 255.255.255.0
因為兩張同網段網卡 Server 回應只會用一張.
改為 255.255.255.0 就會從被存取的那張出去.
因為 IP/255.255.254.0 兩張都是直連, 其餘條件都一樣, 可能比 MAC Address 來選一張.
如果一張 10M 一張 100M 那 10M 那張可能別人只能單向存取, 而 Server 都用另一張回應.

不然就是 Server 要加兩條 Routing table
route add -p 192.168.0.0 mask 255.255.255.0 192.168.0.131
route add -p 192.168.1.0 mask 255.255.255.0 192.168.1.132


--------------------------------------------------------------------
bridge 不是把兩張網卡按 Ctrl 選起來右鍵 bridge 就好了.
然後對 bridge 設定兩個 IP
再確認 Server 服務裏 Routing and remote access 是 "已啟動"
如果有防火牆先關掉省的要排查其他問題.

網卡速度應該只剩一半, 單獨一邊用完全沒差, 但是兩邊同時用就會變一半.
右邊收===>左邊 發出 "右邊收到的"
左邊收===>右邊 發出 "左邊收到的"
Server 發出的兩邊發

spplkk2003
2012-04-02, 12:25 AM
目前架構照網兄所說改成這樣:
但管理12.34.56.7的ROUTER1,開PORT及NAT及轉發埠都在ROUTER1沒錯吧?(箭頭皆表示接上網路線)

http://farm8.staticflickr.com/7075/7035478991_e35e32ef6e.jpg

先謝謝指教。






SERVER SUBNET MASK 要改為 255.255.255.0
因為兩張同網段網卡 Server 回應只會用一張.
改為 255.255.255.0 就會從被存取的那張出去.
因為 IP/255.255.254.0 兩張都是直連, 其餘條件都一樣, 可能比 MAC Address 來選一張.
如果一張 10M 一張 100M 那 10M 那張可能別人只能單向存取, 而 Server 都用另一張回應.

不然就是 Server 要加兩條 Routing table
route add -p 192.168.0.0 mask 255.255.255.0 192.168.0.131
route add -p 192.168.1.0 mask 255.255.255.0 192.168.1.132


--------------------------------------------------------------------
bridge 不是把兩張網卡按 Ctrl 選起來右鍵 bridge 就好了.
然後對 bridge 設定兩個 IP
再確認 Server 服務裏 Routing and remote access 是 "已啟動"
如果有防火牆先關掉省的要排查其他問題.

網卡速度應該只剩一半, 單獨一邊用完全沒差, 但是兩邊同時用就會變一半.
右邊收===>左邊 發出 "右邊收到的"
左邊收===>右邊 發出 "左邊收到的"
Server 發出的兩邊發

bx2aa
2012-04-02, 02:07 AM
只有 Server 要把子網遮罩改為 255.255.255.0
其餘都不用動 子網遮罩 255.255.254.0

現在這樣接就不能開 bridge 不然廣播封包會 loop

Redeye
2012-04-03, 04:25 PM
我不太懂這樣的硬體設定,好奇問一下,為何不讓 server 的兩張 NIC 直接設定成那兩個拿到的實體 IP 就好?這樣會不會單純一點 ...

另一個是,DNS 架好了嗎?找不到會不會只是 DNS 上設定的問題?

Redeye
2012-04-04, 09:07 AM
會這樣子接, 可能有安全的考量

直接把Server 而且是 Windows Server 2003 放在公開的網路

被掃 Port, 破解 , 放木馬 或當駭客跳板, 或是當僵屍網路 BotNet 的肉雞.

另外DNS 也可能由申請後, 設定 A Record後即可, 不用自己架DNS Server

Router 還是會把所有的網路需求都轉到 server 上,不會因為 router 的存在而不見。另,server 本來就是直接面對網路的,安全上的顧慮應該可以從 server 上的設定來調整。感覺上那兩台 router 是多耗電的中繼硬體。