我们的 ISP 提供了 /27 个 IP 地址块。目前我想将 5 个 IP 分配给一个防火墙,将 1 个 IP 分配给另一个防火墙。
具有 5 个 IP 的防火墙将是 Sophos XG - 1 个 IP 将用于内部网络,其他 4 个将分配给 DMZ。我猜我可以对这些进行 1:1 NAT,这样 DMZ 中的每个主机都可以拥有自己的 IP,用于 www、ftp 等服务。
我的想法是在两个防火墙前面放置一些东西以便能够分配 IP 空间。
ISP -> SWorRTR -> FW1 -> Internal
-> DMZ
-> FW2 -> Service
哑交换机能用吗?还是我需要像 L3 交换机这样的设备?使用路由器会更好吗?
据我所知,路由器提供更多功能,但路由速度较慢,而 L3 交换机可以在路由表中缓存数据包。
答案1
IP 地址仅用于管理。它不会影响交换。最好使用私有地址和单独的端口(或 VLAN)进行管理(更安全)。
是否在服务提供商的边缘使用路由器或交换机,通常取决于向您提供 IP 范围的方式。
提供商通过“上游网关”向您提供的地址范围,并且您这边的路由配置无需与网关建立第二层连接(或模拟为第二层连接;参见代理 ARP)以使数据包能够流动。
当数据包到达上游路由器时,它会假定目标地址位于本地 L2 段上,并且只需通过 ARP 即可。这意味着您需要为地址空间的所有使用者配备一个交换机(或其他 L2 网络)。但这并不意味着一切都必须直接连接——如果您在您的终端放置一个路由器并在其上运行代理 ARP,您仍然可以在流量到达目的地之前对其进行 L3 过滤(防火墙);您只是拥有一个更复杂且更难调试的网络环境。希望这会有所帮助!
答案2
据我所知,路由器提供更多功能,但路由速度较慢,而 L3 交换机可以在路由表中缓存数据包。
正确!路由器用于在不同的 L2 网络(ATM、以太网、串行等)之间路由 IP 数据包。L3 交换机是 L3 以太网交换机的缩写,这意味着它只能交换以太网帧。L3 交换机不支持 NAT、IPsec 和许多功能。
哑交换机能用吗?还是我需要像 L3 交换机这样的设备?使用路由器会更好吗?
从我的角度来看,NAT 会更常见。这些 IP 地址可以由多个服务共享。通常,防火墙应该能够配置 PAT,以将内部服务映射到外部 IP 地址的特定端口。
希望这可以帮助。