过去几年,我们一直在相对较小的托管环境中使用 Sonicwall PRO 2040 防火墙。但我们想升级到速度更快且支持 IPv6 的机器,最好继续使用 Sonicwall(因为多年来它一直为我们服务良好)并升级到 NSA 2400。
一直以来,我们都以所谓的“透明模式”运行此防火墙。这样,防火墙对防火墙后面的网络(即服务器)完全透明,但防火墙仍然保护网络。防火墙后面的服务器的配置就像防火墙不存在一样,例如,网关地址是防火墙外部路由器的地址。这与 VLAN 的(*),使我们能够以对客户最透明的方式彼此独立地托管每个服务器。
(*) 解释: 在防火墙上,我们为每台服务器创建了虚拟接口,并用 VLAN 标记它。所有这些虚拟接口都使用连接到交换机的单个物理接口。此交换机也配置了这些 VLAN,并将所有流量分离到单独的物理端口。例如,VLAN 5 的流量仅流向物理端口 5,VLAN 8 的流量仅流向物理端口 8,等等。唯一的公共端口是防火墙连接的端口。这确保了服务器无法直接相互通信,只能通过防火墙进行通信,即使它们位于同一 IP 网络空间中。
现在,我们正在转向新的 IP 地址空间,并且还想支持 IPv6,因此我们正在重新考虑我们的解决方案。其中一个原因是,对 IPv6 的透明模式支持似乎非常少见或根本不存在。因此,如果我们想支持 IPv6,我们必须使用路由模式。因此,各种问题都会出现,希望有人能帮助我提供一些意见和/或答案。
对于 IPv4 来说,路由模式还是透明模式更常用?
我们可以在 IPv4 上使用透明模式并在 IPv6 上使用路由模式吗?或者我们也必须在 IPv4 上使用路由模式?
使用路由模式,如果我们的IP范围是XXX0/26(即64个连续的IP地址),并且我们必须使用的数据中心网关是XXX1,那么我们是否将防火墙的WAN放在XXX2上,将内部端口放在XXX3上,然后将服务器配置为使用XXX3作为网关地址?
在路由模式下,防火墙始终需要至少两个 IP 地址(用于内部和外部接口),而在透明模式下,防火墙只需要一个 IP 地址(WAN),这种说法正确吗?
我们是否仍能将所有服务器放入各自的 VLAN 中,从而要求服务器之间的所有流量都通过防火墙,从而将所有服务器分开?如果可以,子网掩码应该是多少?也就是说,我们不想将每台服务器放入自己的 IP 网段中,因为这将花费我们每台服务器 4 个 IP 地址(网络、广播、网关和服务器本身)。
使用路由模式比使用透明模式有什么优势吗?或者反过来?
答案1
我很喜欢你现有的设计,但它可能不可扩展,如果你开始虚拟化,你的分段将消耗大量端口。你也许可以通过中继和标记来实现这一点。
现在回答你的问题:
1) 路由和透明模式都是常见的部署,通常取决于您拥有的路由设备以及您的 NAT 需求。
2)我认为你不能将它们混合起来。
3) 使用路由模式,如果提供商为您提供 /26 作为连接网络,防火墙将在您的公共网段上占用三个地址。每个防火墙都有一个唯一的地址,在高可用性场景中,它们会来回传递一个虚拟地址。您必须使用私有 IP 并利用地址转换来实现这一点。但是,如果提供商使用 /29 网络连接到您,并将 /26 路由到您,那么您可以连接到 /29 网络,然后在内部接口上使用 /26。
4) 防火墙实际上可能需要每侧 3 个 IP 地址。每侧各一个唯一的 IP 地址,第三个用于 VRRP 故障转移。在透明模式下,每个节点实际上只需要一个内部 IP,仅用于管理。
5) 您必须使用类似的技术,但由于您现在使用的是 HA 对,因此电缆数量将增加一倍。使用 VLAN 标记和子接口可能会更好,但这也可能导致服务器到服务器流量的电缆拥塞。
6) 这两种技术都有优点,透明模式可以不用处理 NAT,但是您可以操作的内容受到限制,因为您无法做太多的 L3/L4 决策或将流量路由到其他地方,因为您根本无法对其进行路由。