虽然对于许多不同的网络布局存在各种论点,但许多组织的需求可以通过将桌面机器和私有服务器放置在私有伪装子网中,并将公共可访问的机器放置在有效的外部 IP 上来满足。在本文档中,有效外部 IP 上的机器将被称为“暴露主机”。 这导致以下(示例)拓扑结构
+--------------+
| | +---------------+
| ISP-supplied |---------------| FTP server |
| router | | +---------------+
| | |
+--------------+ | +---------------+
|------| WWW server #1 |
| +---------------+
|
| +---------------+
|------| WWW server #2 |
| +---------------+
|
~
~
|
| +---------------+
|------| Private |
| Network |
| Gateway |
+---------------+
|
|
|
|
+------------+ | +-------------------+
| Desktop #1 |-------------------|------| Private server #1 |
+------------+ | +-------------------+
|
. -------------------|-------- .
. | .
. -------------------|-------- .
|
+------------+ | +-------------------+
| Desktop #N |-------------------|------| Private server #N |
+------------+ +-------------------+
在此示例中,由 ISP(互联网服务提供商)提供的路由器、FTP 服务器、WWW 服务器和标记为“私有网络网关”的机器都具有外部可见的 IP 地址,而桌面和私有服务器机器的 IP 地址则从 RFC 1918 分配,该 RFC 保留用于私有用途。您为私有网络(私有网络网关机器以下的所有内容)选择使用的 IP 地址应选择为唯一的,不仅在您控制的主机之间,而且还应与在其他站点或合作伙伴公司类似的私有子网上分配的号码不冲突,您可能在某个时候希望与他们实施虚拟专用网络,以便在以这种方式合并网络时减少混淆和重新配置。正如 RFC 中概述的那样,您可以从 192.168.0.* 到 192.168.255.* 的任何 C 类网络,或从 172.16.*.* 到 172.31.*.* 的任何 B 类网络,或 A 类网络 10.*.*.* 中选择。在本文档的其余部分,我将假设您的私有网络(如果您选择创建一个)位于 C 类网络 192.168.1.* 上,并且您的私有网络网关机器的 IP 地址为 10.1.1.9,这是您的提供商提供给您的 IP 地址之一(请注意,这不是有效的外部 IP,我仅将其用作示例)。我还将假设有一台机器 betty.example.com,其地址为 10.1.1.10,它将处理 www 和 FTP 服务。
请注意您自己的机器所需的外部 IP 地址数量。您需要每个位于私有网络网关之外的机器一个 IP 地址,再加上网关本身的一个 IP 地址。此计数不包括路由器、广播地址等可能占用的任何 IP 地址。您应该向您的提供商索要足够大的地址块,以安装给定数量的机器。例如,在我的办公室网络中,从 ISP 分配的 8 个 IP 地址中,有 3 个我的计算机无法使用,为网关外部的四台机器以及网关本身留出了足够的 IP 地址。
此网络拓扑并非适用于所有人,但对于许多没有特殊需求的配置来说,这是一个合理的起点。此配置的优点包括
此类配置的一些潜在缺点是
在规划您的网络拓扑时,您应该考虑这些要点,并确定完全可见的网络是否更适合您的情况。在本文档的其余部分,我将假设您已按照上述方式配置了您的网络。如果您选择拥有完全可见的网络,则某些细节会有所不同,我将在本文档中尝试指出这些差异。
作为一种特殊情况,如果您不需要任何外部服务器,则可以将 ISP 提供的路由器直接连接到私有网络网关机器上的外部接口,而不是使用集线器。