双NAT网络的网络重组方法

由于一系列较差的网络设计决策（主要）由许多年前在这里为了节省几块钱，有，我有一个决定性的次优架构的网络。我正在寻找改善这种不愉快情况的建议。

我们是一家基于Linux的IT部门且预算有限的非营利组织。（注意：我们运行的Windows设备均不执行任何与Internet对话的操作，也没有任何Windows管理员在工作。）

关键点：

• 我们有一个总公司和大约12个远程站点，这些站点通过物理隔离的交换机对子网进行NAT双重翻倍。（没有VLAN，并且使用当前交换机的能力有限）
• 这些位置具有一个“ DMZ”子网，在每个站点的相同分配的10.0.0 / 24子网中进行NAT。这些子网无法与任何其他位置的DMZ进行通信，因为除了服务器和相邻的“防火墙”之间，我们不会将它们路由到任何地方。
• 其中一些位置具有多个ISP连接（T1，电缆和/或DSL），我们使用Linux中的IP工具手动路由。这些防火墙都运行在（10.0.0 / 24）网络上，并且大多是“专业”级防火墙（Linksys，Netgear等）或ISP提供的DSL调制解调器。
• 连接这些防火墙（通过简单的非托管交换机）是一台或多台必须可公开访问的服务器。
• 连接到主办公室的10.0.0 / 24子网的是用于电子邮件，远程通勤VPN，远程办公室VPN服务器，内部192.168 / 24子网的主路由器的服务器。这些必须基于流量类型和连接源从特定的ISP连接进行访问。
• 我们所有的路由都是手动完成的，也可以通过OpenVPN路由语句完成
• 部门间通信通过主“路由器”服务器中的OpenVPN服务进行，该服务器具有自己的NAT。
• 远程站点在每个站点上仅安装一台服务器，由于预算限制，无法负担多台服务器。这些服务器都是LTSP服务器，有5-20个终端。
• 192.168.2 / 24和192.168.3 / 24子网大部分是（但不完全）在可以执行VLAN的Cisco 2960交换机上。其余的是DLink DGS-1248交换机，我不确定我是否对使用VLAN足够信任。由于仅高级网络人员才了解VLAN的工作原理，因此VLAN还存在一些内部问题。

所有常规的互联网流量都通过CentOS 5路由器服务器，该服务器根据手动配置的路由规则将192.168 / 24子网NAT转换为10.0.0.0/24子网，我们使用该路由规则将出站流量指向基于以下内容的正确的互联网连接： “-主机”路由语句。

我想简化此过程，并为ESXi虚拟化做好所有准备工作，包括这些面向公众的服务。是否有一种免费或低成本的解决方案可以摆脱Double-NAT并为这种混乱恢复一点理智，以便将来我的替代产品不会困扰我？

主办公室基本图：

这些是我的目标：

• 在该中间10.0.0 / 24网络上具有接口的面向公众的服务器将被移入ESXi服务器上的192.168.2 / 24子网中。
• 摆脱双重NAT，将整个网络放在一个子网上。我的理解是，无论如何，这是我们在IPv6下仍需要做的事情，但我认为这种混乱正在阻碍。

1.）在进行其他任何事情之前，请先弄清您的IP地址计划。重新编号很痛苦，但这是建立可行的基础架构的必要步骤。为工作站，服务器，远程站点（自然地具有唯一的IP），管理网络，环回等留出一个舒适的大型，易于汇总的超级网。RFC1918的空间很大，价格合理。

2）很难根据上图了解如何在网络中布置L2。如果您的各种网关中有足够数量的接口以及足够数量的交换机，则可能不需要VLAN。一旦有了第一感，就可以分别重新解决L2问题。也就是说，VLAN并不是特别复杂或新颖的技术，也不必那么复杂。需要进行一定数量的基础培训，但是至少可以将标准交换机分成几组端口（即，不使用中继），可以节省很多钱。

3.）DMZ主机可能应该放置在自己的L2 / L3网络上，而不是与工作站合并。理想情况下，您会将边界路由器连接到L3设备（另一组路由器？L3交换机？），该L3设备又将连接包含面向外部服务器接口（SMTP主机等）的网络。这些主机可能会连接回不同的网络或（不太理想）连接到公用服务器子网。如果适当地布置了子网，则引导入站流量所需的静态路由应该非常简单。

3a。）尝试使VPN网络与其他入站服务分开。就安全监控，故障排除，计费等而言，这将使事情变得更容易。

4.）缺乏巩固您的Internet连接和/或通过多个运营商（阅读BGP）路由单个子网的功能，您需要中间跳，然后边界路由器才能适当地重定向入站和出站流量（如我怀疑您目前正在这样做）。这似乎比VLAN更大，但我想这是相对的。