我目前在数据中心安装了 2 个独立的机柜,每个机柜都有自己的 Watchguard XTM810 防火墙和 ISP 路由器。机柜并不相邻。机柜中的所有服务器都托管 Web 服务,Watchguards 配置为 drop in 模式(所有接口都使用相同的 IP)。
数据中心为我们在两个机柜之间铺设了一条电缆,但我希望能够连接两个独立的网络,以便我们能够更快地在服务器之间传输文件。目前,任何文件传输都会进入互联网,然后再返回数据中心。
是否可以通过交换机、通过 Watchguards 来实现这一点,或者是否可以在两个路由器之间配置路由。我们对两个机柜使用相同的 ISP,但每个机柜在单独的子网中都有自己的 IP 范围。
答案1
您提供的信息不足以给出肯定的答案,但基本上由于 Drop-in 模式,您需要另一个设备执行第 3 层路由以在网络之间路由。最好是能够控制流量的防火墙设备,但不一定。
给它一个在两个网络上的 IP 地址,将两个网络都接入它。在两个 Watchguard 上,添加一个路由条目,以便通过此设备的本地网络 IP 发送远程网络的所有流量。
如果没有插入模式,您可以通过在每个 Watchguard 上的接口之间连接一根电缆来实现这一点,它们可以路由/防火墙流量。如果这不是一项大工程,我会说安排停机时间并切换到混合模式 - 但这样做需要重新设计。
(完全可以使用混合模式,避免 NAT,并在任何地方都使用公共 IP - 至少在最近的 Watchguard 防火墙固件上 - 这使得插入模式变得多余。例如:http://www.watchguard.com/help/configuration-examples/public_IP_behind_XTM_configuration_example_%28en-US%29.pdf)
答案2
- 将每个 Watchguard 单元上的一个接口配置为 1918 地址(例如 192.168.200.1 和 192.168.200.2);您可能必须重新配置链路聚合或桥接,以允许您在所有接口上使用相同的 IP。
- 使用为您串好的电缆连接这两个配置好的接口。
- 在每个单元上配置路由
- 如果机柜 A 的 IP 为 1.0.0.0/24,则机柜 B 需要通过 192.168.200.1 路由到 1.0.0.0/24
- 机柜 B 的 IP 为 2.0.0.0/24,那么机柜 A 需要通过 192.168.200.2 路由到 2.0.0.0/24
- 这两者都获取远端、远端网络和远端 Watchguard IP 的信息。
- 使用 tracert (Win) 或 traceroute (*nix) 测试配置。现在网络之间应该只有约 2 个跳数。
注意:重新配置连接可能会干扰通信。更重要的是,除非您非常确信不需要这样做,否则您应该在现场进行这些更改,因为任何错误都可能破坏路由,并且您可能会失去远程管理路由器的能力。
答案3
是的。您需要在两个网络之间设置路由,任何称职的网络管理员都应该能够在短时间内为您完成此操作。
您必须让每个网络上的设备知道到另一个网络(新电缆)有一条更短的路径,否则它们不知道这一点,并且将继续使用它们的默认路由(似乎是通过互联网传出的)。
您对设置并不十分清楚,但这甚至可能是您完全可以在进行传输的客户端上执行的操作。(route print从我的命令行为我提供了我的 [Windows] 工作站所知道的网络路由的列表。)