如何使用一个(pfSense)路由器组合多个路由跳数?

如何使用一个(pfSense)路由器组合多个路由跳数?

我正在尝试想出一种方法来将两个路由器合并为一个。我有以下网络配置:

 LAN <-- a/24 --> NAT Firewall <-- x/29 --> Router <-- y/30 --> Internet
                                    |
 LAN2 <-- b/24 --> NAT Firewall <---

其中 a/24 和 b/24 是我的内部子网,x/29 是我们已分配的一小块公共 IP,y/30 是 ISP 提供的互联网连接。

通常情况下,ISP 会拥有路由器,但在这种情况下,我们将拥有 NAT 防火墙和路由器。我想避免设置三个单独的 pfSense 设备,并希望将整个设备整合成这样:

 LAN <-- a/24 --> Firewall/Router <-- y/30 --> Internet
                      |
 LAN2 <-- b/24 <------

我仍然需要能够从 x/29 块中分配一个地址作为每个 LAN 的外部 NAT 地址,并允许这些地址上的端口转发到 LAN 上的服务器(例如:Web 服务器)。

是否可以使用单个 pfSense 防火墙组合多个路由跳数?

更新:澄清一下,从 ISP 的角度来看,x/29 是通过 y/30 块路由的。换句话说,x/29 的网关是 y/30 块中的一个地址。

答案1

您的图表使用 x/29 和 y/30,而文本使用 y/29 和 z/30,并且您的更新说 x/29 使用 ay/30 网关,这进一步混淆了事情,因为您不能在另一个子网上使用网关。也许添加 IP 和网络掩码会有所帮助。我假设 a/24、b/24、x/29、y/30,并且您指的网关是具有 x/29 和 y/30 接口的路由器。

简短的回答是肯定的。a/24 和 b/24 子网只需连接到防火墙上的单独端口即可。这可以通过使用多个适配器物理完成,或者通过 VLAN(如果您的交换机支持)完成。防火墙上的外部接口可以指定现有路由器的 y/30 地址。现有防火墙 x/29 地址可以设置为虚拟 IP 地址,或者您可以为 x/29 设置存根 VLAN 接口。您需要调整自动配置的 NAT 规则和防火墙规则(例如,LAN->Any 需要复制为 LAN2->Any)。

我心中最大的疑问是路由器、x/29 和防火墙的原样设计有何用途?假设 NAT a/24 和 b/24 可以直接挂在 y/30 路由器上,而 b/24 可以挂在 a/24 防火墙上。这里是否遗漏了其他要求?如果 a/24 和 b/24 位于现有 NAT 后面,它们是否应该保持隔离(在这种情况下,您需要更新新的防火墙规则以拒绝 LAN->LAN2 和 LAN2->LAN),还是它们应该彼此平等且可路由?x/29 是否支持其他(未来?)设备,例如额外的隔离防火墙“c/24”、允许使用第二台设备实现冗余、允许使用第二台设备实现维护和升级等。

除非 y/30 路由器有问题,否则我不会放弃它(即它已经付款,并且可能不会再使用)。x/29 网络提供了额外的灵活性,如果您将防火墙和路由器合并为单个设备,则会失去这种灵活性。您是否需要这种灵活性是完全不同的问题。

相关内容