iT邦幫忙

0

IP的問題

https://ithelp.ithome.com.tw/upload/images/20201018/20114199JOu277JzSK.png
新手想請教一些問題,
如圖
我想知道實體IP從TWNIC申請後,如何到DHCP供派發的?
因為我只知道設定的部分需要從公司提供的Cisco A9K 設定+DCHP派發,
但實際流程我比較不清楚,想請各位大大詳細解答,感謝
另外,防火牆的概念較不熟,想請教各位大大,若是以公司內外網要架設防火牆,應該
要架設在哪一個介接點?
再煩請各位高手不吝教學了,感謝

creamlun iT邦新手 5 級 ‧ 2020-10-20 10:31:30 檢舉
DHCP應該派發內部虛擬IP,再由Router做NAT上網。

2 個回答

17
raytracy
iT邦大神 1 級 ‧ 2020-10-18 17:29:33
最佳解答

先再確認一下: 你的 IP 是向 TWNIC 申請的? 不是 ISP 發給你的?

換句話說, 你應該收到一封從 TWNIC 寄給你的信, 內容是這樣:
(紅線上的關鍵字都有出現在信內)
https://ithelp.ithome.com.tw/upload/images/20201018/20026603Y70FG4isOk.png

而且, 你們公司也用印, 回覆過這樣一份文件給 TWNIC:
https://ithelp.ithome.com.tw/upload/images/20201018/20026603d2PbdgnZGV.jpg

如果以上問題, 你都可以回答 Yes 的話, 我們往下討論才會是對...要問這麼謹慎是因為: 通常向 TWNIC 申請 IP 的, 應該都有能力處理這個問題了...

申請到 TWNIC 的 IP 之後, 要讓這些 IP 上線, 你必須處理以下事務:

  1. 先決定你要跟那些業者做 Peering? 找誰做上游 Transit?
  2. 向你屬意的網路上游供應商(Up stream), 購買 IP Transit 服務
  3. 申請一條可以從公司直連上述供應商的本地電路並測通
  4. 向 TWNIC 填單申請你們專屬的 AS Number (簡稱ASN)
  5. 決定 IP 網段要如何切割? 分配? ASN 上要廣播多少網段?
  6. 在本地電路接入的路由器上, 設立 eBGP 通訊協定, 廣播 ASN
  7. 跟你先前決定要 Peering 的業者談, 拉直連電路接入並廣播 ASN
  8. 邊界路由器上設立 iBGP 或 OSPF 協定, 對內網廣播預設路由
  9. 內網可以選擇使用靜態配置 IP, 或者用一個設備發放 DHCP IP

以上是約略的建置流程大步驟

這裡面有一些議價或路由規劃的技巧, 會影響你的聯網成本. 例如, IP Transit 服務, 有人談到 1Gbps每月8萬, 有的 1Gbps每月3萬, 也有人買到 1Gbps每月120萬....你必須有經驗和能力, 去找到適合自己預算和營業模式的 Transit 供應商...(例如: Latency 要低於多少才可接受? 有沒有特定地區國家的要求?....等等)

Peering 服務大部分業者通常不用錢 (會設立 Peering 的接續條件, 你必須先符合他的條件才能接入), 台灣的 Hinet Peering 則是每 1Mbps要價 $3xx 左右, 實際成交價, 要看你怎麼跟他談...

因不確定是否真的是公司要的架構?
你先確認一下, 有問題再往下問...

你的IP是向TWNIC申請的?不是ISP發給你的?
我們公司有向TWNIC申請4段C的IP,也有ISP提供的。
決定 IP 網段要如何切割? 分配? ASN 上要廣播多少網段?
這段比較不懂,如圖,切割的部份是在Router作還是Switch?
另外,流程是如何到DHCP作派發管理的呢?
(大神的講解很優質!!感謝!!)
也還請不吝解惑,感恩

raytracy iT邦大神 1 級 ‧ 2020-10-20 08:20:06 檢舉

ISP 發給你的 IP, 前面步驟 1~8 都已經由他們機房處理掉了, 你只是接收他們在步驟 9 發給你的靜態 IP 來使用...

但 TWNIC 發給你的 IP, 你必須自己處理和規劃 1~9 的事情. 沒有照這些步驟來處理, 你的 IP 是連不出去的...(這跟 ISP 發給你的完全不同, 不是申請一條網路線來, IP 就會找到自己的路由去聯網)

要使用 TWNIC 的 IP, 我們得從第一條開始問:
1.你打算跟誰做 Peering? 用誰的 Transit 服務?

(先別想到規劃自己的網路那麼遠, 你得一步一步來, 先解決跟外界網路互聯的問題, 否則只是把 TWNIC IP 直接寫在 Router 裡, 是永遠出不去的; 前面步驟沒做完, 先別跳到後面去, 要不然只是白做工而已)

用了 TWNIC IP 你的身分就變成 ISP 業者了,
可以參考看看其他 ISP 機房怎麼做...
先看一下像 Hinet 他的 ASN 狀況:
https://bgp.he.net/AS9680

申請 Hinet 之所以能夠聯到外界, 是因為他已經幫你處理好 ASN 的問題 (在此圖上, Hinet 的 ASN 是: AS9680, 請看左上角的數字), 然後 Hinet 能跟其他網路互連, 是因為他有很多 Peering 對象, 如圖表下方的各種 ASN, 那些都是同意跟他做 Peering 互聯的業者. (所以先想想: 你們的業務範圍或財務規劃需不需要做 Peering? 還是做 Transit 就夠用了?)

從 TWNIC 拿 IP 來用, 你的身分就變成是 Hinet 了 (也就是: 你自己是一家 ISP), 所以就不會有上游來幫你做這些事情, 你現在 (ISP業者) 必須要自己處理. 也就是: 上面那張表裡面的各項數字, 都是你需要自己先規劃好的.

你可以點一下畫面上方的各個頁籤 (AS Info, Graph v4, Graph v6, Prefixes v4....), 這些東西, 都是由 Hinet 自己規畫好之後, 透過 BGP 協定, 對外廣播出來的(或是向上層註冊單位登記, 例如: ASN 或 Whois). 換句話說, 現在角色換成你, 你必須自己先把這些東西規劃好, 然後廣播出去, 才能夠開始對外聯網.

IP Transit 服務, 上網就可以查到很多供應商, 看你要用哪一家的, 就找他們家業務來談(國內國外皆可, 看你的目的來規劃), 談好了再去申請 ASN (因為 ASN 申請之後 30 天之內就要開始上線廣播, 否則會被撤銷重跑流程, 所以你要先談好 IP Transit 電路後再去申請 ASN, 不然時間上可能會來不及接續)

如果這些專業, 超過您本身知識範圍太多的話, 建議您可以先找一位持有 CCIE 證照的專家, 討論一下你的需求, 請他協助說明或是規劃. (現在離你自己內部的規劃還很遠, 所以先專心處理好 BGP/ASN 聯外的問題, 聯外 Transit 接通了, 再來討論內部)

多問一個, 你們為何需要用到 4 個 Class C? 這些 Public IP 要直接發給客戶用嗎? 是甚麼用途? (要先知道用途, 才能判斷你是否還有其他的東西要去申請....例如: 二類電信執照等)....我們不知道你的目的, 就只能照制式步驟來教你, 沒辦法跳關走捷徑, 而且這樣做出來的結果, 可能跟你預期要的會有差距.

感謝raytracy詳解

0

我要發表回答

立即登入回答