路由器伪装到交换机的委托

Question

在考虑ISP如何配置其内部网络时，我想知道是否可以将路由器的伪装委托给交换机。

详细信息：

假设有一个具有48个vlans的48端口Gbps交换机。路由器连接到此交换机的上行链路。假设vlan1正在向vlan2发送数据。通过简单的路由，来自vlan1的数据包将进入交换机，上行到路由器，路由器将伪装成公共IP地址，然后意识到目的地位于vlan2上，并将其发送回交换机发送到vlan2。

理想情况下，路由器应该能够将该TCP流的路由向下推到交换机，并让交换机在本地处理流量。那是真的吗？如果是的话，该技术的名称是什么，或者某些专有技术的名称是什么？这有什么安全上的顾虑？考虑到UDP的无状态性，它是否适用于UDP？

Answer 1

通过简单的路由，来自vlan1的数据包将进入交换机，上行到路由器，路由器将伪装成公共IP地址，然后意识到目的地位于vlan2上，并将其发送回交换机发送到vlan2。

这取决于你如何设置路由器。它应该能够在没有SNAT的私有子网之间进行路由。

请记住，路由是一个非常基本的特性，NA(P)T是在很晚才发明的，而且要复杂得多。NAT可能是消费者级设备上的一个隐含功能，但只有在商业网络中才有必要使用NAT。

理想情况下，路由器应该能够将该TCP流的路由向下推到交换机，并让交换机在本地处理流量。

不是的。“交换机”是一种完全没有IP地址和路由的第二层设备。即使是一个层-3交换机也不能做NAT，这是为L4+.“推下一条路线”听起来就像软件定义的网络(SDN)，这完全是另外一回事。

通常，L3交换机用于局域网路由(私有到私有)，因为它既便宜又快速，路由器用于广域网路由(私有到公共和反向)，因为它可以做更多的事情并提供更多的控制。

考虑到UDP的无状态性，它是否适用于UDP？

在任何情况下，动态SNAT都需要有状态NAT设备。对于UDP，国家需要或多或少地猜测“私有IP S，UDP端口x向公共IP D，UDP端口y发送数据报，因此我将在一段时间内使用反向翻译”。UDP“连接”需要在任何时候都过期，而对于TCP连接，这只是一个清理过程。