为具有多个子网的 ISP 连接添加第二个防火墙？

我认为最好的办法是联系您的 ISP，明确说明他们通过 203.0.113.88/29 阻止给您什么。这些 IP 地址的不确定性不会让事情变得复杂。

最理想的情况是将第二个防火墙连接到该交换机，并为其分配 203.0.113.88/29 网络上的一个 IP，并在同一网络上设置默认网关。

您的 ISP 如何在您的网络内路由 203.0.113.88/29？不知为何，我怀疑情况并非如此。

如果您没有充分利用 192.0.2.144/29（或 203.0.113.88/29）网络，您应该能够在交换机上放置一个接口，其中包含该范围内的 IP 地址。我建议使用 2 个 IP 地址（如果可用） - 例如：

交换机1：

接口 FaX/X（您的新防火墙连接到此处）

IP地址 192.0.2.147 255.255.255.252 ！

然后在你的新防火墙上

接口 X/X 192.0.2.148 255.255.255.252

这将明确您对默认网关的需求，您也可以在其上放置 /29 掩码并使用交换机上当前使用的相同网关。

例如（假设您在交换机上使用 vlan 20）

Vlan 20 IP地址 192.0.2.145 255.255.255.248

接口 FaX/X（您的新防火墙连接到此处）交换机端口访问 vlan 20

在新的防火墙上

IP地址 192.0.2.147 255.255.255.248

关于无通信规则，您要么需要一个单独的子网，要么需要一个交换机上的 ACL。

希望这可以帮助

为实验室防火墙分配 192.0.2.144/29 或 203.0.113.88/29 内的地址将不起作用，除非它位于充当该地址空间网关的设备后面，因为具有该广播地址的任何设备都会响应 ARP 请求。

您可能希望将地址分配到 Watchdog 防火墙的上游，或者，与其让 Watchdog 通告 /29 网络，不如将 /29 拆分为 /30。如果您不需要在一个防火墙上拥有 /29 内的所有 8 个主机地址，则将一个 /30 分配给一个防火墙，将另一个 /30 分配给新的实验室防火墙。

如果您的 ISP 将这两个范围路由到您当前的防火墙，您应该能够设置所需的配置，而无需额外的软件，具体取决于您的 Watchguard 型号。Watchguard 非常擅长处理这类问题。听起来您可能在 192 或 203 网络方面配置不当，至少在将其用作公共网络方面。您应该至少获得一年的设备支持，如果没有，请再支付一年的费用，他们非常值得为您设置此配置的指导。但首先让他们确认您当前的防火墙型号可以处理您可能从两个网络预期的配置和流量负载。

关于您的 ISP，听起来他们只是将第二个网络范围放在第一个网络范围之上。无论谁提供了该服务，当时可能都无法在您的设施中配置两个端点，因此就保持现状。让他们澄清这一点会很有帮助。与 Watchguard 讨论您的配置会对您有所帮助。我个人会只使用一个防火墙，原因有很多，其中一个是电力负荷，另一个是服务合同和其他经常性成本和支持需求。除非您真的有其他问题，例如，如果您的开发项目出于某种原因需要重置设备，即开发网络管理软件。或者，如果当前设备不足以支持两个网络的负载。请考虑这些问题。