我们有一个 C 类 (/24) 和 2 个提供商的 AS 编号。
目前我的网络中有一台 Fortigate 和一台 pfSense。Fortigate 负责 BGP,而 pfSense 负责 NAT、DMZ、VPN、VLAN。
我们使用 1 个 IP 来路由所有内部流量,对 DMZ 服务器使用 1:1 NAT,
我想在 pfSense 中拥有一切。我还没有看到任何关于如何配置它的教程。
问题似乎是 1:1 映射需要与一个接口关联。
我看到,在 Ubiquity 的 EdgeRouter 中,当您不知道流量将在哪个接口上路由时,他们使用术语“黑洞”。
有人知道是否可以在同一台 pfSense 机器上拥有 NAT + BGP 吗?
答案1
有可能,是的。好主意,嗯,可能不是。OpenBGPD 有时存在稳定性问题,并且状态过滤和非对称路由存在固有的复杂性。pf 在 DDoS 下的表现也很差,即使受到小规模攻击也很难保持在线。您正在执行 BGP 的网络边缘是路由器的工作。
我会在路由器而不是防火墙上执行 BGP,将防火墙放在一对路由器内(每个 ISP 一个,互连,以实现 HA)。