我有一个场景,我需要对某个地址范围的响应通过一个默认路由发出,另一个地址通过另一个默认路由发出,但不知道如何设置路由添加命令来配置每个范围。以下是场景:
- 默认网关是 192.168.1.250
- 192.168.1.0-99 默认路由是 192.168.1.251
- 192.168.1.100-199 默认路由是 192.168.1.252
从基本术语上讲,我不知道如何使用子网掩码等定义子网内的范围?
编辑:为了澄清目的......
我的实施场景是,基本上,流量从两个防火墙之一进入同一设备,来自防火墙 A 的流量进入下范围,来自防火墙 B 的流量进入上范围,但响应需要返回到接收流量的相应防火墙。我被告知实现这一点的方法是通过路由命令。
防火墙设备是Cisco,将设置路由命令的服务器是Windows 2003。
答案1
您无法在问题中列出的 IP 地址边界处拆分子网,但您可以尝试通过在每个服务器上创建以下路由,在每个服务器的路由表中的子网掩码位边界处拆分它:
route add 192.168.1.0 mask 255.255.255.128 “下限防火墙的ip地址”
route add 192.168.1.128 mask 255.255.255.128 “上层防火墙的 ip 地址”
这意味着“较低范围”防火墙需要具有 192.168.1.1 和 192.168.1.126 之间的 IP 地址(.0 和 .127 不可用),而“较高范围”防火墙需要具有 192.168.1.129 和 192.168.1.254 之间的 IP 地址(192.168.1.128 和 192.168.1.255 不可用)。由于这些路由中的每一个都比到每个服务器上的默认网关的路由(0.0.0.0)更具体,因此这些路由将具有较低的度量,因此应该优先于每个服务器上的默认网关路由。这应该强制每个服务器使用这些路由来处理发往适当“范围”地址的流量。
从路由表来看,有两个子网:192.168.1.0/25和192.168.1.128/25。
我刚刚在我的 Windows 7 电脑上尝试过这个,它似乎有效,尽管我从未在真实场景中这样做过。
答案2
您可以在网络中添加路由器,并将其设为所有设备的默认网关。然后,该路由器可以使用策略路由将流量从下层主机发送到一个防火墙,将上层主机发送到另一个防火墙。
如果您想要有关策略路由的更多信息,请告诉我。
第二种不太优雅的解决方案是在每个上层主机(或下层主机 - 设备较少的主机)上手动添加持久默认路由。这些将从 DHCP 获取默认网关,但会手动路由到具有较低度量的另一个防火墙,因此会以这种方式发送流量。命令是 route add /p 0.0.0.0 mask 0.0.0.0 "IPofFirewall2" metric 1
但是,您可能需要考虑将该子网分成两半(当然,从 129 开始“上层主机”),因为它可能会在将来为您简化其他任务。