为具有多个子网的 ISP 连接添加第二个防火墙?

为具有多个子网的 ISP 连接添加第二个防火墙?

我对路由的知识有些生疏。我有一个光纤互联网连接,连接方式如下: 现有网络

托管交换机将 VLAN 拆分为透明局域网服务,该服务也通过 ISP 的盒子。我认为这与这个问题基本无关,所以我把它从图表中省略了。

我有两个 /29 子网(使用来自RFC5735):

  • 192.0.2.144/29 (.144-151) - 主地址。我们的网关是 192.0.2.145,防火墙的主地址是 192.0.2.146。
  • 203.0.113.88/29 (.88-.95) - 没有网关的第二个子网,由 ISP 路由到第一个子网(我想,这是我感到困惑的部分)。

防火墙将两个子网的所有可用 IP 地址添加到其 WAN 接口,并对各种服务器进行 NAT。

现在我想在我们的防火墙之外添加一个具有自己的防火墙的独立网络,并且它需要自己的公共 IP 地址,如下所示: 拟议网络

我还没有使用 203.0.113.94,所以我打算将其从现有防火墙的附加地址中删除,并将其提供给新防火墙...但这样做不行,对吧?它的子网上没有网关。

或者我可以重新安排并给它一个 192.0.2.144/29 地址。这样可以正常工作并让两个网络正常运行吗?有没有更好的方法可以做到这一点?

如果新防火墙仍能获得真正的公共 IP(而非 NAT),我可以将新防火墙连接到现有防火墙 - 但我不知道是否有办法使用 watchguard 防火墙做到这一点。这可能需要进一步划分子网,而我的 IP 地址已经快用完了。

新网络将成为我们的测试实验室(这样我终于可以停止在生产环境中测试了!)。我不希望这两个网络能够相互通信,因为它们将具有相同的内部子网和生产机器的克隆。我需要新的防火墙有一个公共 IP 地址,没有任何 NAT。

答案1

我认为最好的办法是联系您的 ISP,明确说明他们通过 203.0.113.88/29 阻止给您什么。这些 IP 地址的不确定性不会让事情变得复杂。

最理想的情况是将第二个防火墙连接到该交换机,并为其分配 203.0.113.88/29 网络上的一个 IP,并在同一网络上设置默认网关。

答案2

您的 ISP 如何在您的网络内路由 203.0.113.88/29?不知为何,我怀疑情况并非如此。

如果您没有充分利用 192.0.2.144/29(或 203.0.113.88/29)网络,您应该能够在交换机上放置一个接口,其中包含该范围内的 IP 地址。我建议使用 2 个 IP 地址(如果可用) - 例如:

交换机1:

接口 FaX/X(您的新防火墙连接到此处)

IP地址 192.0.2.147 255.255.255.252 !

然后在你的新防火墙上

接口 X/X 192.0.2.148 255.255.255.252

这将明确您对默认网关的需求,您也可以在其上放置 /29 掩码并使用交换机上当前使用的相同网关。

例如(假设您在交换机上使用 vlan 20)

Vlan 20 IP地址 192.0.2.145 255.255.255.248

接口 FaX/X(您的新防火墙连接到此处)交换机端口访问 vlan 20

在新的防火墙上

IP地址 192.0.2.147 255.255.255.248

关于无通信规则,您要么需要一个单独的子网,要么需要一个交换机上的 ACL。

希望这可以帮助

答案3

为实验室防火墙分配 192.0.2.144/29 或 203.0.113.88/29 内的地址将不起作用,除非它位于充当该地址空间网关的设备后面,因为具有该广播地址的任何设备都会响应 ARP 请求。

您可能希望将地址分配到 Watchdog 防火墙的上游,或者,与其让 Watchdog 通告 /29 网络,不如将 /29 拆分为 /30。如果您不需要在一个防火墙上拥有 /29 内的所有 8 个主机地址,则将一个 /30 分配给一个防火墙,将另一个 /30 分配给新的实验室防火墙。

答案4

如果您的 ISP 将这两个范围路由到您当前的防火墙,您应该能够设置所需的配置,而无需额外的软件,具体取决于您的 Watchguard 型号。Watchguard 非常擅长处理这类问题。听起来您可能在 192 或 203 网络方面配置不当,至少在将其用作公共网络方面。您应该至少获得一年的设备支持,如果没有,请再支付一年的费用,他们非常值得为您设置此配置的指导。但首先让他们确认您当前的防火墙型号可以处理您可能从两个网络预期的配置和流量负载。

关于您的 ISP,听起来他们只是将第二个网络范围放在第一个网络范围之上。无论谁提供了该服务,当时可能都无法在您的设施中配置两个端点,因此就保持现状。让他们澄清这一点会很有帮助。与 Watchguard 讨论您的配置会对您有所帮助。我个人会只使用一个防火墙,原因有很多,其中一个是电力负荷,另一个是服务合同和其他经常性成本和支持需求。除非您真的有其他问题,例如,如果您的开发项目出于某种原因需要重置设备,即开发网络管理软件。或者,如果当前设备不足以支持两个网络的负载。请考虑这些问题。

相关内容