Double-NATネットワークのネットワーク再構成方法

あちこちで数ドルを節約するために（主に）何年も前に行われた一連の不十分なネットワーク設計決定のため、私は明らかに最適とは言えないように設計されたネットワークを持っています。この不愉快な状況を改善するための提案を探しています。

私たちはLinuxベースのIT部門と限られた予算を持つ非営利団体です。（注：私たちが実行しているWindows機器は、インターネットと通信することも、スタッフにWindows管理者も配置していません。）

キーポイント：

• 本社と約12のリモートサイトがあり、物理的に分離されたスイッチでサブネットを実質的に2倍にNATします。（現在のスイッチでVLANを作成することはできず、そのための機能が制限されています）
• これらの場所には、各サイトで同じように割り当てられた10.0.0 / 24サブネットでNAT処理された「DMZ」サブネットがあります。これらのサブネットは、サーバーと隣接する「ファイアウォール」の間以外のどこにもルーティングしないため、他の場所にあるDMZと通信できません。
• これらの場所のいくつかには、LinuxのIPツールを使用して手動でルーティングする複数のISP接続（T1、ケーブル、DSL）があります。これらのファイアウォールはすべて（10.0.0 / 24）ネットワーク上で実行され、ほとんどが「プロシューマー」グレードのファイアウォール（Linksys、Netgearなど）またはISP提供のDSLモデムです。
• これらのファイアウォールの接続（管理されていない単純なスイッチを介した）は、パブリックにアクセスできる必要がある1つ以上のサーバーです。
• 本社の10.0.0 / 24サブネットに接続されているのは、電子メールサーバー、在宅勤務者VPN、リモートオフィスVPNサーバー、内部192.168 / 24サブネットへのプライマリルーターです。これらは、トラフィックタイプと接続ソースに基づいて、特定のISP接続からのアクセスである必要があります。
• すべてのルーティングは手動で、またはOpenVPNルートステートメントを使用して行われます
• 社内トラフィックは、独自のNATが関与しているメインの「ルーター」サーバーのOpenVPNサービスを通過します。
• リモートサイトには、各サイトに1台のサーバーしかインストールされておらず、予算の制約により複数のサーバーを用意することはできません。これらのサーバーはすべて、LTSPサーバーであり、いくつかの5-20端末です。
• 192.168.2 / 24と192.168.3 / 24のサブネットは、VLANを実行できるCisco 2960スイッチのほとんどではありますが、完全ではありません。残りはDLink DGS-1248スイッチで、VLANで使用するのに十分信頼できるかどうかはわかりません。また、シニアネットワーキングスタッフのみがVLANの機能を理解しているため、VLANに関する内部の懸念も残っています。

すべての通常のインターネットトラフィックはCentOS 5ルーターサーバーを通過します。CentOS5ルーターサーバーは、アウトバウンドトラフィックを適切なインターネット接続にポイントするために使用する手動構成のルーティングルールに従って、192.168 / 24サブネットを10.0.0.0/24サブネットにNAT変換します。 「-host」ルーティングステートメント。

これを簡素化して、これらのパブリックサービスを含むESXi仮想化のAll Of The Thingsを準備したいと思います。Double-NATを取り除き、この混乱に少し正気を取り戻し、将来の交換で邪魔されないようにする、低コストまたは低コストのソリューションはありますか？

本社の基本図：

これらは私の目標です：

• ESXiサーバー上の192.168.2 / 24サブネットに移動する、その中間の10.0.0 / 24ネットワーク上のインターフェースを持つ公開サーバー。
• 二重NATを取り除き、ネットワーク全体を単一のサブネット上に配置します。これはとにかくIPv6でやらなければならないことだと私は理解していますが、この混乱は邪魔になっていると思います。

1.）基本的に他の前にあなたのIPアドレッシング計画をまっすぐにすること。番号を付け直すのは大変ですが、実行可能なインフラストラクチャに到達するために必要なステップです。ワークステーション、サーバー、リモートサイト（当然のことながら固有のIPを使用）、管理ネットワーク、ループバックなどのための快適で大きく、簡単に要約されたスーパーネットを脇に置いておきます。RFC1918には多くのスペースがあり、価格は適切です。

2.）上の図に基づいてL2をネットワークに配置する方法を理解するのは困難です。さまざまなゲートウェイに十分な数のインターフェイスと十分な数のスイッチがある場合、VLANは必要ない場合があります。＃1の感覚をつかんだら、L2の質問に個別に再アプローチすることは理にかなっています。とはいえ、VLANは特に複雑な、または斬新なテクノロジーセットではなく、それほど複雑である必要はありません。ある程度の基本的なトレーニングが必要ですが、最低でも標準スイッチを複数のポートグループに（つまり、トランキングなしで）分離できると、大幅なコスト削減につながります。

3.）DMZホストは、おそらくワークステーションと統合されていない独自のL2 / L3ネットワークに配置する必要があります。理想的には、ボーダールーターをL3デバイス（別のルーターのセット？L3スイッチ？）に接続して、外部に面したサーバーインターフェイス（SMTPホストなど）を含むネットワークに接続するのが理想的です。これらのホストは、おそらく別のネットワークまたは（あまり最適ではありませんが）共通サーバーサブネットに接続します。サブネットを適切にレイアウトした場合、着信トラフィックを誘導するために必要な静的ルートは非常に単純になります。

3a。）VPNネットワークを他の受信サービスから分離するようにしてください。これにより、セキュリティの監視、トラブルシューティング、アカウンティングなどに関して、より簡単になります。

4.）インターネット接続を統合したり、複数のキャリアを介して単一のサブネットをルーティングしたりしない場合（読み取り：BGP）境界ルーターがインバウンドおよびアウトバウンドトラフィックを適切にリダイレクトできるようにするには、中間ホップが必要です（今あなたがやっていると思う）。これはVLANよりも頭痛の種のように見えますが、私はそれがすべて相対的であると思います。