另类的ip地址伪装折腾记

收到这样一个需求:在现有结构不变的情况下,让被访问方看起来是很多物理地址在同时请求。为了便于大家理解,我画个图来描述,就明白了。

新的业务规定是这样,见下图

这样一来,就没有中间那个“业务处理服务器”什么事情了。可是,那么多的终端,却是自己辛苦发展起来的,投入了大量的精力和资金,不可能不做了啊。因此,要想个办法,让最终处理服务器看起来,是很多终端在访问它。

基本的思路是申请一大批ip地址,然后跟服务器做绑定,即中间那个业务服务器设置数百个ip地址,体系结构不做任何变化。

经过讨论,大家一致认为这样可行(打查遍球,嘿嘿!),接下来相关人等联系机房,看申请ip地址什么一个费用。第二天,得到反馈,每个ip地址每个月多少银子,但另外一家的报价比现在托管的这家还低。问低多少?答:“低三分之一”。还吩咐我,准备把服务器整体搬走。我一听,心里一惊,这搬迁都要命啊!一整柜的服务器,业务还很复杂,不光自己的系统在处理业务,还有与第三方机构的系统进行交互,记得当时跟那些三方机构联调的时候,可费劲了(经常找不到人,配合不得力)。这要是搬迁,好久能恢复业务,没法预估时间。

从这个图可以看出,整个结构还是比较复杂的,在没有充足资源的条件下,直接停机搬迁,完全是找死啊(正常的搬迁,需要在目的机房全新部署差不多规模的设施,然后迁移应用,这样多花好多银子的)!权衡再三,我个人觉得不要搬迁,于是跟现有机房进行交涉,要求便宜一些,不然客户要跑了。经过多轮沟通,价格降了不少,可还是没有挖墙脚那方报价低。最后,相关决策人,还是决定用另外一家的ip,并要求几方去现场讨论方案。

在去讨论的路上,我心里还是不想把它们搬走,太费劲了。要是恢复不了业务,压力全在我这里;特别是oracle 11g rac,出故障了不是一时半会能恢复得了的。突然,有了这么一个方案:现有机房不动,通过vpn连接到挖角机房的vpn,然后再在那里做地址绑定。到现场后,另一方人还没来,我就跟决策人讲了厉害关系以及解决方案。记得最关键的一句话是“咱们能忍受多长的停机损失”!技术副总说了一句:“停一天的损失,够我们托管好几年了”。没多久,那帮人来了,说了我的方案,经确认,可行。

目前,机房已经有一个dlink的vpn,型号是DI8200;厦门某个机房托管的设备正好要下架撤回来,刚好有个花三的vpn。等设备到了以后,就把它放在新租赁的机柜。在现有的dlink上,新增一条ipsec隧道,很快就做好了。然后登录另外一个机房的华三,配置ipsec,配完后,死活不通。仔细对比,发现有几个项目,不管怎么修改,始终对不上,如下图所示:

通过咨询各路好手,判定两种设备不兼容。只得重新选用相同的设备来做这个同道,于是又买了一个同型号的dlink DI8200,设置好ipsec,测试两个网络的内网服务器,终于能互访了。接下来,就是处理ip地址绑定的事情了。

设计好的vpn隧道结构如下图所示:

接下来,我们需要测试内网服务器访问某个指定目标服务器,看访问通路是否跟我们期望的一致(未完待续...)

时间: 2024-10-11 06:58:43

另类的ip地址伪装折腾记的相关文章

保证Linux系统安全之firewalld防火墙配置地址伪装和端口转发详解

通过保证Linux系统安全之firewalld防火墙入门详解认识Linux系统firewalld防火墙,并可以编写一些相对简单一些的防火墙规则.Linux防火墙可以充当路由器(网关).路由器上的NAT技术,同样可以通过Linux防火墙来实现.地址伪装和端口转发说白了就是路由器中的NAT技术. 一.地址伪装和端口转发简介 firewalld防火墙支持两种类型的NAT: (1)地址伪装 地址伪装:基于源地址进行转换,通过地址伪装,NAT设备将经过设备的数据包转发到指定接收方,同时将通过的数据包的源地

另类网址加密方法 - IP地址进制转换

今天在看子网掩码计算器.本人算数一直是个硬伤,脑子不是十分灵活那种. 但是发现.IP十进制计算.当时没看懂.十进制计算是个什么鬼. 拿百度举例.(因为我们51cto的域名ping后解析出来的地址是无法直接访问的.尴尬) 无论是 www.baidu.com 还是  61.135.169.121 访问后的结果是一样的. 但是还一个访问办法. 无论是  http://1032300921 还是    1032300921 结果也是一样的. 那么问题来了.这个数字是怎么来的. 计算过程如下. 将点分十进

<TCP/IP>记一次关于IP地址和MAC物理地址的思考

是的,从3月6日第一次上计算机网络课起,我还是今天第一次对这本书里讲的知识点有了自己的疑问..之前看书就是 嗯嗯这好像很有道理,嗯嗯也许再多看几章就知道它在讲什么了.. 不过今天已经自学到了网络层了,这章主要介绍了IP地址和物理地址即MAC的关系还有路由选择协议的工作原理,看到ARP高速缓存工作原理时不禁觉得这搞事方法和以太网交换机还有点像.. 问题来了,这ARP协议就是把IP转换为物理地址,既然已经有了物理地址为何还要多此一举使用IP地址呢? 知其然要知其所以然.    IP地址,大家都形象的

php中获取用户登陆的IP地址以及常规处理

本文为原创,转载请注明!  在我们开发多站点业务网站中,经常需要获取客户端的ip地址来给用户推荐其所在地址的信息的业务,用php获取客户端的ip地址,我们一般用到的PHP内置方法是$_SERVER['REMOTE_ADDR']. 但是这个函数只能获取访问者本地连接中设置的IP,局域网网关出口的IP地址,如果访问者使用代理服务器,将不获取代理服务器的IP,而是获取访问者网关的真实IP.如果将这个函数应用到限IP访问的网页中,别人即使通过限IP访问段中的代理服务器,也不能访问该页面. 所以我们一般为

CentOS 7 配置IP地址以及出现的问题排查

当我们新建好一个新的CentOS系统后我们首先需要配置IP 地址,为的就是可以方便远程连接和后续的正常使用!由于CentOS 7更新之后配置和CentOS 6还是有点小区别,让我们开始吧~ 首先进入系统后我们先自动获取一个IP地址: #dhclient 查看获取到的IP地址信息 #ip add  或 #ifconfig 然后我们可以查看一下配置文件 #cat /etc/sysconfig/network-scripts/ifcfg-ens33 当然在这条命令中部分如果不是太方便记(经常练习一下,

Visual Studio Emulator for Android 折腾记

想用虚拟机调试Android项目,于是想到了MS免费提供的 Visual Studio Emulator for Android,这玩意价格免费量又足,N久之前试用过,速度杠杠的! 安装包很小,不到40MB,很快就下载好了.由于以前玩过,知道这货依赖Hyper-V,于是先到系统功能中把Hyper-V装上,两次重启才完成.然后开始安装VSEMU,竟然安装不了,提示“The file or directory is corrupted and unreadable”,好像是安装包的问题.于是打开Ch

网址(url),域名,ip地址,dns,hosts之间的关系

什么是ip? 我们知道,在Internet上有千百万台主机,为了区分这些主机,人们给每台主机都分配了一个专门的地址,称为IP地址.通过IP地址就可以访问到每一台主机. IP地址由4部分数字组成,每部分都不大于256,各部分之间用小数点分开.例如"百度搜索"主机的IP地址就是:"119.75.217.109,"在浏览器上输入这个IP地址,就可以访问到百度的主页. 我们的每个虚拟主机用户,都分配一个永久的IP地址. 什么是域名? 虽然可以通过IP地址来访问每一台主机,但

获取用户Ip地址通用方法

这个来自一些项目中,获取用户Ip,进行用户操作行为的记录,是常见并且经常使用的. 一般朋友,都会看到如下通用获取IP地址方法. 1 public static function getIp() 2 { 3 if ($HTTP_SERVER_VARS["HTTP_X_FORWARDED_FOR"]) 4 { 5 $ip = $HTTP_SERVER_VARS["HTTP_X_FORWARDED_FOR"]; 6 } 7 elseif ($HTTP_SERVER_VAR

VMware Fusion DHCP方式下如何指定虚拟机IP地址

默认情况下,vmware fusion中的虚拟机,网卡设置成dhcp(动态分配 )时,会分配一个IP地址,但这个IP通常很难记,如果我们想为某台虚拟机挑一个好记的IP地址,可以按如下步骤操作: 命令行下,输入 sudo vi /Library/Preferences/VMware\ Fusion/vmnet8/dhcpd.conf 该文件记录了动态分配的IP地址段,以及某个mac地址绑定的IP,参考下面的内容修改: ----------------------------------------