将第二个防火墙添加到与多个子网的ISP连接?
我的路由知识略有过时。 我有光纤互联网连接,如下所示:
托管的交换机被中断 VLANS 对于透明网络服务,也通过提供商服务器。 我认为它主要与这个问题无关,所以我从图表中排除了它。
我有两个子网 / 29 (在地址的例子上
https://tools.ietf.org/html/rfc5735
):
192.0.2.144/29 (.144-151) - 主要的。 我们的门户 - 192.0.2.145, 和防火墙的主要地址 - 192.0.2.146.
203.0.113.88/29 (.88-.95) - 没有网关和提供程序的网关和路由的第二个子网 (我认为这是我困惑的部分).
防火墙具有添加到其接口的两个子网的所有IP地址。 WAN, 和表演 NAT 对于各种服务器。
现在我想在我们的防火墙外使用自己的防火墙添加单独的网络,并且她需要自己的公开IP地址,例如:
我仍然不使用 203.0.113.94, 因此,我将从现有防火墙上的其他地址中删除它,并将其转移到新的防火墙上。 ... 但它不起作用,对吗? 他的子网中没有网关。
或者我可以重新排列事物并给他一个地址 192.0.2.144/29. 它会正常工作并允许两个网络正常工作吗? 有没有更好的方法来做呢?
如果他仍然可以获得真正的公共IP地址,我可以将新的防火墙附加到现有的现有防火墙上,而不是 NAT, 但我不知道是否有办法与防火墙做到 Watchguard. 可能需要进一步拆分子网,我已经几乎结束了IP地址。
新网络应该是我们的测试实验室。 (这样我终于可以停止在生产环境中进行测试!). 我不希望两个网络互相交谈,因为它们将有一个和同一个内部子网和生产机器的克隆。 我需要一个新的防火墙来拥有公共IP地址 NAT.
托管的交换机被中断 VLANS 对于透明网络服务,也通过提供商服务器。 我认为它主要与这个问题无关,所以我从图表中排除了它。
我有两个子网 / 29 (在地址的例子上
https://tools.ietf.org/html/rfc5735
):
192.0.2.144/29 (.144-151) - 主要的。 我们的门户 - 192.0.2.145, 和防火墙的主要地址 - 192.0.2.146.
203.0.113.88/29 (.88-.95) - 没有网关和提供程序的网关和路由的第二个子网 (我认为这是我困惑的部分).
防火墙具有添加到其接口的两个子网的所有IP地址。 WAN, 和表演 NAT 对于各种服务器。
现在我想在我们的防火墙外使用自己的防火墙添加单独的网络,并且她需要自己的公开IP地址,例如:
我仍然不使用 203.0.113.94, 因此,我将从现有防火墙上的其他地址中删除它,并将其转移到新的防火墙上。 ... 但它不起作用,对吗? 他的子网中没有网关。
或者我可以重新排列事物并给他一个地址 192.0.2.144/29. 它会正常工作并允许两个网络正常工作吗? 有没有更好的方法来做呢?
如果他仍然可以获得真正的公共IP地址,我可以将新的防火墙附加到现有的现有防火墙上,而不是 NAT, 但我不知道是否有办法与防火墙做到 Watchguard. 可能需要进一步拆分子网,我已经几乎结束了IP地址。
新网络应该是我们的测试实验室。 (这样我终于可以停止在生产环境中进行测试!). 我不希望两个网络互相交谈,因为它们将有一个和同一个内部子网和生产机器的克隆。 我需要一个新的防火墙来拥有公共IP地址 NAT.
没有找到相关结果
已邀请:
5 个回复
八刀丁二
赞同来自:
最完美的情景 - 连接到此开关第二个防火墙,并将其提供网络上的IP地址之一 203.0.113.88/29 使用同一网络上的默认网关。
快网
赞同来自:
如果您没有完全使用您的网络 192.0.2.144/29 (或者 203.0.113.88/29), 您可以使用此范围内的其中一个IP地址将接口安装到切换器。 我建议使用 2 IP地址 (如果他们是). 例如:
Switch1:
界面 FaX / X (您的新防火墙在此连接。)
IP地址 192.0.2.147 255.255.255.252!
然后在你放的新防火墙上
界面 X / X 192.0.2.148 255.255.255.252
它澄清了您对默认网关的需求,您也可以放置一个面具。 / 29 并使用当前在交换机上使用的相同网关。
例如 (假设你使用 vlan 20 在他的转换器上)
IP地址 Vlan 20 192.0.2.145 255.255.255.248
界面 FaX / X (您的新防火墙在此连接。) switchport access vlan 20
在你的新防火墙上
IP地址 192.0.2.147 255.255.255.248
至于缺乏通信的规则,您将需要一个单独的子网或 ACL 在你的切换器上。
我希望这个能帮上忙
帅驴
赞同来自:
放
在一个单独的接口上的第一个防火墙上的网络 (或者如果可以使用,子接口 VLAN), 让防火墙彼此保护网络。 只需从网络块分配一次采访屏幕地址,它将是网络的网关。 您将需要从网络到防火墙的WAN接口的默认路由 (或路由器地址 ISP), 一切都准备好了。
NAT 真的与防火墙无关; 防火墙通常只是一个舒适的地方 NAT. 你不需要 NAT 在网络上,如果您不想要它,我不会使用公开的地址。
冰洋
赞同来自:
您可以分配防火墙的升序流的地址 Watchdog 或者而不是 Watchdog 宣布了一个网络 / 29, 你可以打破它 / 29 在 / 30. 分配 / 30 一个防火墙和另一个 / 30 - 一个新的实验室防火墙,如果你不需要一切 8 主机地址在内 / 29 在一个防火墙上。
快网
赞同来自:
至于您的Internet提供商,似乎他们只是将第二个网络区域放在第一个顶部。 谁可能在那时提供服务可能无法在您的企业中配置终端点,并在其上留下所有内容。 从他们那里收到这种解释将有所帮助。 它可以帮助您讨论您的配置 Watchguard. 就个人而言,我将只使用一个防火墙,原因如,电荷,而是另一个原因 - 服务合同和其他定期费用和支持需求。 例如,如果您真的没有不同的问题,例如,如果您的开发项目出于某种原因需要重新启动设备,例如,网络管理软件的开发。 或者,如果当前单位很小,以支持两个网络的负载。 考虑这些问题。