Watchguard VLAN 需要头部抓握

由于这刚刚被推到头版 - 您可能不需要“使用 XTM 后面的公共 IP 地址”场景，并且确实想要创建新的 VLAN 接口。

将接口 0 设置为外部，并像以前一样分配公共地址。

制作新的 VLAN 接口，每个 VLAN 一个。将它们设置为“可选”，为每个 VLAN 中的防火墙提供一个内部 IP 地址，并根据需要配置 DHCP。VLAN 中的每个设备都应获取该 VLAN 中的防火墙 IP 作为其网关 - 使用防火墙提供 DHCP 将自动执行此操作，如果它们是手动配置的或者其他东西执行 DHCP，则必须设置它。

然后设置将接口 1 设置为 VLAN 接口，并标记它以发送所有 VLAN 的流量你刚刚定义的。

要为某些服务器获取不同的公共 IP 地址，添加 1-1 NAT 条目将公共IP映射到服务器的内部IP。

为 VLAN 之间的流量制定防火墙策略，例如允许“从 VLAN2 到 VLAN5 的任何流量”，无论何种策略适合创建单独的摄像机网络和私人办公网络。

在交换机端将其设置为 VLAN 中继端口。

此设置只需要一根从防火墙到交换机的电缆（尽管如果您需要额外的带宽，可以轻松添加更多电缆 - 将接口 2 配置为 VLAN 中继，并将一些 VLAN 标记到接口 1 上，将一些 VLAN 标记到接口 2 上）。

你在这里问了很多问题，而且涉及一些相当具体的硬件，所以我只提供一些高级指导以确保合理。

首先是服务器。您希望它们具有公共 IP。这很好。但是，它们也是您内部网络的一部分；请为它们提供内部 IP。然后，您需要在 watchguard 上设置端口转发策略，以映射每个服务器的公共 IP，并将流量转发到正确的内部地址。您可能希望将此与在本地 DNS 服务器中设置记录配对，以便如果您从网络内部进行查找，则任何公开指向互联网 IP 的域都将指向本地 IP。

接下来是交换机。您的图表显示 CORE1 交换机比其他交换机更重要/更集中。如果可以，您应该让此交换机执行您的 VLAN 路由，而不是 watchguard。该交换机应该为每个 VLAN 都有一个虚拟接口，并且网络上执行 dhcp 的任何设备都应将交换机上的相应接口 IP 作为所有设备的默认网关。交换机本身应将 watchguard 的内部 IP 设置为其网关，并具有到所有 VLAN 的路由。然后将通向 watchguard 的端口设置为中继端口，或者仅标记除 watchguard 的内部 IP 之外的所有 VLAN（该 VLAN 将是未标记的成员）。

现在，您可以在 watchguard 上为每个内部网络设置 NAT 策略和路由，当然还要为服务器设置端口转发策略。您只需配置两个接口即可完成此操作，并且一条电缆就能处理所有这些流量。

不幸的是，我无法更具体。我已经以这种方式成功配置了 Watchguard 400 系列，但这只是我们后来返回的演示，因此目前我无法更具体说明每个选项的去向。（FWIW，我们现在改用 Untangle，我更喜欢它）。