iT邦幫忙

第 12 屆 iThome 鐵人賽

DAY 25
2

前言

上回提到如何利用 Router OS 建立 BGP 連線,這邊分享我現在的 BGP 使用方式。

IP 分配

我們知道,熟悉的內網 IP 網段有:10.0.0.0 - 10.255.255.255
而妥善的分配他們可以讓握的網路看起來更整齊。
所以,將會用到的 IP 分為三類:

  1. BGP Tunnel IP:上回設定用來跑的 BGP 的 VPN Tunnel IP
  2. local IP pool:該路由底下的 PVE 與 VM,使用的 IP 網段
  3. remote IP pool:VPN 到此路由時,使用的 IP 網段

BGP Tunnel

BGP tunnel 是 site to site 的 IP,一般來說一組連線只會用到兩個。
所以我使用 10.121.0.n/3210.121.0.n+1/32 ,Server 使用 n,Client 使用 n+1

local IP pool

在設定路由器時,我會將路由器自己設為 10.121.R.254,其中 R 為一個 10 的倍數。(170,180,190)
並將 10.121.R.0/24 這個網段做為 Local 的機器 IP。而該網段又被我細分如下:

  • 10.121.R.1 - 10.121.R.19:保留
  • 10.121.R.20 - 10.121.R.240:DHCP pool
  • 10.121.R.241 - 10.121.R.254:Service 固定 IP

這樣對我來說的好處是:

  1. 方便辨識:
    • 看到 20 - 240 就知道是 DHCP 的 VM 或 LXC (大家對 2 的相關數字都有種敏銳感)
    • 看到其他的 IP 就知道是固定 IP 的服務。
  2. 統一設定,可以在每台 PVE Node 上都利用同樣的規則,例如:
    • 250 是 PVE Node0 IP
    • 251 是 PVE Node1 IP
    • 252 是 PVE Node2 IP
    • 241 是 NAS 儲存的 IP 等等

remote IP pool

有時我們會有需要讓外部 VPN 連入,但不希望他能夠存取所有資源的需求,
此時直接連到原本的網段會讓你的防火牆難以設定。
所以另外分配一個 IP pool 給非 Local 使用。

通常,我使用 10.121.R+1.254 做為連入的 local IP,並把剩下的 10.121.R+1.0/24 做為 remote IP。
這樣,在設置防火牆時,便能使用 10.121.R+1.0/24 來 drop 掉不允許訪問的流量。

結語

綜上所述,以我為例會有以下 IP:

10.121.0.4/32 # 該 Router VPN tunnel Local IP
10.121.0.5/32 # 該 Router VPN tunnel Remote IP
10.121.190.250/24 # 該 Router PVE node0 IP
10.121.190.254/24 # 該 Router Local IP pool
10.121.191.254/24 # 該 Router VPN IP pool

大家在設定完後,便能在 IP -> Routes 內欣賞自己的成果。


上一篇
Day24:PVE 搭配 VPN 建立 BGP
下一篇
Day26:管理 LXC 的好工具 —— Docker
系列文
在家機器學習?用虛擬化技術實現個人 AI 環境配置30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

1 則留言

0
steveyiyo
iT邦新手 3 級 ‧ 2020-10-11 05:41:51

好文推個!

我要留言

立即登入留言