将第二个防火墙添加到具有多个子网的 ISP 连接?
Gra*_*ant 6 firewall routing isp watchguard
我的路由知识有点生疏。我有一个像这样连接的光纤互联网连接:
管理型交换机为透明 LAN 服务打破 VLANS,这也是通过 ISP 的盒子。我认为这与这个问题几乎无关,所以我把它排除在图表之外。
我有两个 /29 子网(使用来自RFC5735 的示例地址):
- 192.0.2.144/29 (.144-151) - 主要的。我们的网关是192.0.2.145,防火墙的主地址是192.0.2.146。
- 203.0.113.88/29 (.88-.95) - 第二个没有网关的子网,由 ISP 路由到第一个子网(我认为,这是我感到困惑的部分)。
防火墙将两个子网的所有可用 IP 地址添加到其 WAN 接口,并对各种服务器执行 NAT。
现在我想在我们的防火墙之外添加一个单独的网络,它有自己的防火墙,它需要自己的公共 IP 地址,如下所示:
我还没有使用 203.0.113.94,所以我打算将它从现有防火墙上的附加地址中删除,并将其提供给新防火墙……但这行不通,是吗?它的子网上没有网关。
或者我可以重新排列一些东西并给它 192.0.2.144/29 地址之一。这会正常工作并让两个网络正常运行吗?有一个更好的方法吗?
我可以将新的防火墙附加到现有的防火墙上,如果它仍然可以获得真正的公共 IP,而不是 NAT - 但我不知道是否有任何方法可以使用 watchguard 防火墙来做到这一点。它可能需要进一步的子网划分,而且我的 IP 地址已经快用完了。
新网络将成为我们的测试实验室(所以我终于可以停止在生产中测试东西了!)。我不希望这两个网络能够相互通信,因为它将具有相同的内部子网和生产机器的克隆。我需要新的防火墙有一个公共 IP 地址,没有任何 NAT。
我认为您最好的选择是联系您的 ISP 并明确说明他们通过 203.0.113.88/29 块为您提供了什么。这些 IP 地址的不确定性没有理由让事情变得复杂。
最理想的方案是将第二个防火墙连接到该交换机,并为其提供 203.0.113.88/29 网络上的 IP 之一,并在同一网络上设置默认网关。