我们有许多带有两个网卡的服务器,一个配置了内部 IP,另一个配置了外部 IP。计划使用单个交换机将它们全部连接在一起。
当前设置如下:
--Router---Firewall--ExternalSwitch--NIC1
InternalSwitch--NIC2
每台服务器都有双 NIC,我们将一个 NIC 连接到“外部交换机”,将一个 NIC 连接到“内部交换机”。
另外,没有内部路由器,我们使用其中一个内部 IP 作为默认网关,我认为可以留空?使用一个交换机的想法出现了,因为外部交换机是 8 端口的,而且端口用完了。在我们的场景中使用双 NIC 的最佳方法是什么?
答案1
你没有告诉我们足够的信息来真正帮助你,但我可以告诉你,你的设计图在所有意图和目的上都是完全错误的(或被大大简化,以至于丢失了所有相关信息,因此完全错误)。
如图所示,内部网络和外部网络之间没有分隔(您将所有内容都塞进了同一个交换机,大概是同一个 VLAN),这实际上抵消了您希望获得的任何潜在安全优势 - 如果您经常使其中一个 NIC 饱和,您可能获得的唯一好处就是性能(这可以通过其他方法实现)。
为了实现适当的隔离,您需要两个交换机(或支持 VLAN 的交换机上的两个独立 VLAN)。内部通信应与外部通信完全隔离,如下所示
请注意,从安全角度来看,即使这种配置也很糟糕。除了少数例外,你永远不应该有一台计算机处于上述情况(双宿主,一个网卡在内部网络上,一个网卡在外部网络上),因为它是巨大的安全风险:如果有人破坏了该机器,他们现在就可以访问您的内部网络。
更好的配置是适当的 DMZ,并通过防火墙限制对内部资源的访问。