ISPは1本のケーブルで2つの静的IPを提供できますか？

ISPは、単一のケーブル接続で2つの静的IPを自宅または企業に提供して、同時に使用できるようにすることはできますか？もしそうなら、誰かがこれがどのように機能するかを理解するために正しい方向に私を向けることができますか？

ルーターがトラフィックの誘導に極めて重要であることを理解していますが、セキュリティの問題として、データの2つのストリームを完全に分離する方法を教えてください。

たとえば、家主はテナントに完全に独立したIPをどのように提供しますか？

確かに可能ですが、提供するモデム/ルーターの種類によって異なります。私のISPが提供するモデムは1つのクライアントのみを許可するため、一度に1つのWAN IPのみを使用し、独自のルーターを購入する必要があります。

多くのISPは、それをサポートできるハードウェアとサービスを提供しています。

ほとんどのISPは、ビジネス用に複数のWAN IPのみを実行しますが、お問い合わせいただければ、お住まいの地域の消費者が利用できるかどうかを喜んでお知らせいたします。

ISPは、単一のケーブル接続で2つの静的IPを自宅または企業に提供して、同時に使用できるようにすることはできますか？

うん。これは、個人アカウントよりもビジネスアカウントを使用した場合のほうがかなり高い可能性があります。これをサポートするモデムが必要になりますが、ISPが提供するハードウェアが常に機能するのに特定のハードウェアが機能するかどうかはわかりません。

ルーターがトラフィックの誘導に極めて重要であることを理解していますが、セキュリティの問題として、データの2つのストリームを完全に分離する方法を教えてください。

別の意味によって異なります。

絶対に物理的に分離する場合は、1つのWANインターフェイスと2つのLANインターフェイスを持ち、トラフィックの宛先IPを見て、宛先IPに応じて異なるLANインターフェイスにトラフィックを転送するルーターが必要です。

Linuxとを実行している3つのネットワークカードを搭載したPCがあれば、これは完全に可能ですiptables。これをネイティブに行うComcastまたは他のサードパーティハードウェアについては確信がありませんが、そこにある/提供していると確信しています。

LANインターフェイスとネットワークの他の部分がVLANをサポートしていれば、ルーター上の単一の物理LANインターフェイスでもほぼ同じことを実現できます。

たとえば、家主はテナントに完全に独立したIPをどのように提供しますか？

ワイヤレスハードウェア（一般消費者レベルのワイヤレスハードウェアも含む）には通常、クライアントがネットワーク上でお互いを見ることを防ぐ「AP Isolation」モードがあります。ビジネスクラスのスイッチングハードウェアを使用すると、これを実行できます。通常の4ポートまたは8ポートのアンマネージドスイッチにはこの機能がありません。1つの解決策は、各スイッチポートを独自のVLANに割り当て、完全に分離することです。

また、家主が何をしているのかわからず、実際にすべてのテナントをプライベートサブネットに配置し、実際に互いに到達できる可能性もあります。

この問題には複数の解決策があります。「最もエレガントな」ものは比較的無駄が多いですが、非常に一般的であり、9つのIPアドレスを使用して実行します。これは、ほとんどのプロISPが処理する方法です。

ルーターのIPアドレスを取得します（ほとんどの通常のアカウントと同じ）-このIPアドレスは、ルーターのWANインターフェイスに関連付けられています。[ISPに同意すれば、ここでRFC1918 IPを使用できますが、これはおそらく、きちんとしたシステムのために物事を詰め込みます]

次に、ISPに「/ 29」を要求します。これは、8つのIPアドレスのブロックを要求していることを意味します（ルーティングプロトコルに関連付けられた2つの使用不能なものを含む-ビットの簡略化-ブロックの最初と最後のIPアドレスは「使用不可」と見なされます）。ISPは、これらのIPアドレスをルーターに単一のブロックとしてルーティングします。アカウンティングおよびルーティングテーブルを簡素化し、非常に標準的であるため、彼らはこれを好んでいます。

次に、この8つのIPのブロックを4つのIPの2つのブロックにさらに分割します。これにより、2つの使用可能なアドレスの2つのブロックが得られます。2つの使用可能なアドレスのうち1つをルーターの各インターフェイス/ VLANにバインドし、他のIPアドレスをクライアントに提供します。

したがって、次のようなものがあります。

ISP (1.1.2.254) -----> (1.1.2.253) router (1.1.1.1) ------ 1.1.1.2 (PC on network 1)
                                       |
                                       +-- (1.1.1.5) ----- 1.1.1.6 (PC on network 2)

上記の例では、ISPがルーター1.1.2.253を割り当てています。ルーター[3つのインターフェイス/仮想インターフェイスが必要]には、1.1.2.254を指すように設定されたデフォルトネットワークがあります。そのため、不明なトラフィックはISPに送られます。

ルーター上最初のLANポートは、255.255.255.252のネットマスクを持つ1.1.1.1として構成されます。2番目のLANポートは、255.255.255.252のネットマスクを持つ1.1.1.5として構成されます

最初のPCは、1.1.1.2のIP、255.255.255.252のネットマスク、および1.1.1.1のデフォルトゲートウェイで構成されます。

2番目のPCは、1.1.1.6のIP、255.255.255.252のネットマスク、および1.1.1.5のデフォルトゲートウェイで構成されています。

IP 1.1.1.0および1.1.1.4は「ネットワーク」IPと呼ばれ、トラフィックには使用されません。IP 1.1.1.3および1.1.1.7は「ブロードキャスト」IPと呼ばれ、トラフィックには使用されません。ルーターのLANインターフェイスには2つのIPが必要です。

代替の、似ているがそれほど洗練されていない方法は、ISPに接続全体で/ 30をルーティングさせることです。これには、ネットワークに合計5つのIPが必要で、2つが無駄になります。LANインターフェイスごとにプライベートIP（192.168.1.xなど）を使用し、次にNATを使用してこれらを実世界のプロバイダーに変換する必要があります。

IPSの使用のために私を撃ANTしたい人のために-あなたのネットワーク専門家に最初に確認してください-私が上記を広範囲に使用したように、ほとんどの「ポイントツーポイント」接続は4つのIPを使用して設定されます。

これが最も簡単な方法です。ルーターの1つの着信インターフェイスに複数のIPアドレスを割り当ててから、natを使用してトラフィックを分離します。ispが何をするかは彼ら次第です。あなたは終わりを心配するだけです

したがって、最初のIPの宛先アドレスを持つ着信インターフェイスを介して着信するトラフィックはすべて、natを使用してネットワーク内の特定のLANアドレスに変換します。2番目のIPを同じ方法で別のLANアドレスに変換します

そうすれば、リバースプロキシやDNSサーバーを使用せずに、たとえば1つのネットワーク内に2つ以上のWebサーバーを配置できます。両方のWebサーバーはポート80を使用するため、Webアドレスの末尾にポート番号を指定せずに、他の方法で外部からネットワーク内にアクセスする方法。非常に非効率的です

もちろん、1つのインターフェイスに2つ以上のアドレスがあることには他の利点もあるため、これはそのうちの1つにすぎません