在具有多个子网的ISP连接中添加第二个防火墙？

6

我的路由知识有些生锈。我有一个这样的光纤互联网连接：

受管理的交换机也通过ISP的主机为透明局域网服务划分VLAN。我认为这与这个问题最无关紧要，因此我将其遗漏在图表之外。

我有两个/ 29子网（使用RFC5735的示例地址）：

192.0.2.144/29（.144-151）-主要之一。我们的网关是192.0.2.145，防火墙的主要地址是192.0.2.146。
203.0.113.88/29（.88-.95）-第二个子网，没有网关，由ISP路由到第一个子网（我认为这是我很困惑的部分）。

防火墙将两个子网的所有可用IP地址添加到它的WAN接口中，并对各个服务器进行NAT。

现在，我想在防火墙之外添加一个具有自己的防火墙的独立网络，并且它需要自己的公共IP地址，如下所示：

我尚未使用203.0.113.94，因此我打算将其从现有防火墙的其他地址中删除，然后将其分配给新的防火墙...但这行不通吗？它的子网中没有网关。

或者，我可以重新整理内容，并为其指定192.0.2.144/29地址之一。这样是否可以正常工作并使两个网络正常运行？有一个更好的方法吗？

如果仍能获得真正的公共IP而不是NAT，我可以将新防火墙附加到现有防火墙上，但是我不知道watchguard防火墙是否有办法做到这一点。这可能需要进一步的子网划分，而我已经几乎没有IP地址了。

新的网络将成为我们的测试实验室（因此我终于可以停止测试生产中的东西！）。我不希望这两个网络能够互相通话，因为它将具有相同的内部子网和生产机器的克隆。我需要新的防火墙具有一个公共IP地址，而没有任何NAT。

— 格兰特
source

您正在两个/ 29范围内使用IP，对吗？在您当前的Watchguard中，您定义了两个网关还是仅一个？

— 蒂姆·布里格姆

@TimBrigham使用这两个IP，它们都通过Watchguard框工作，对各种服务进行NAT。只有一个网关-192.0.2.145。

— 格兰特（Grant）

1

我考虑得越多，我不确定您现有的防火墙如何使用第二个范围。必须有一条引导交通的路线。

— 蒂姆·布里格姆

@TimBrigham是的，这也是我感到困惑的地方...但是我知道在商业DSL /电缆连接上提供一个地址然后以某种方式将另一个小型子网路由到它是很常见的事情。我还没有足够的经验来处理ISP级路由向导。

— 格兰特（Grant）

1

@pato。由于其他原因不得不在周末安排一些停机时间，因此决定尝试一下。重新整理内容，以便可以使用新防火墙上的192.0.2.144/29地址之一。我仍然不明白另一个子网实际上是如何路由到我的，但是我现在有我需要的东西。

— 格兰特（Grant）

3

我认为您最好的选择是与您的ISP联系，并通过203.0.113.88/29块明确说明他们为您提供的服务。这些IP地址的不确定性没有理由使事情变得复杂。

最理想的方案是将第二个防火墙连接到该交换机，并为它提供203.0.113.88/29网络上的IP之一，并在同一网络上使用默认网关。

— 帕特角
source

0

您的ISP如何在您的网络中路由203.0.113.88/29？我以某种方式怀疑是这样。

如果您没有完全使用192.0.2.144/29（或203.0.113.88/29）网络，则应该能够在交换机上放置一个接口，且该IP地址在该范围内。我建议使用2个IP地址（如果有）-例如：

开关1：

FaX / X接口（您的新防火墙在这里连接）

IP地址192.0.2.147 255.255.255.252！

然后在新防火墙上

接口X / X 192.0.2.148 255.255.255.252

这将阐明您对默认网关的需求，您还可以在其上放置/ 29掩码，并使用当前在交换机上使用的同一网关。

例如（假设您在交换机上使用vlan 20）

VLAN 20 IP地址192.0.2.145 255.255.255.248

FaX / X接口（您的新防火墙在这里连接）交换机端口访问VLAN 20

在您的新防火墙上

ip地址192.0.2.147 255.255.255.248

关于无通信规则，您可能需要在交换机上使用单独的子网或ACL。

希望这可以帮助

— AceCoop
source

-1

为实验室防火墙分配192.0.2.144/29或203.0.113.88/29之内的地址将不起作用，除非它位于充当该地址空间网关的任何设备后面，因为具有该广播地址的任何设备都将响应ARP请求。

您可能想在Watchdog防火墙的上游分配地址，或者，而不是让Watchdog发布/ 29网络，您可以将/ 29分解为/ 30。如果您不需要一个防火墙上的/ 29内的所有8个主机地址，则将/ 30分配给一个防火墙，将另一个/ 30分配给新实验室防火墙。

— 拉尚·霍奇
source

1

它们是RFC5735保留的文档中使用。不是我的或任何人使用。 tools.ietf.org/html/rfc5735

— 格兰特（Grant）

没错编辑。

— 拉尚·霍奇

格兰特（Grant）我的更正帖子可以回答您的问题吗？

— Rashan Hodge

-1

我不知道您的防火墙的详细信息，但是这就是我将要使用的任何企业级防火墙的方式，不需要两个防火墙：

将203.0.113.88/29网络放在您的第一个防火墙上，在单独的接口（或子接口，如果可以使用VLAN）上，并使防火墙相互保护网络。只需为防火墙接口分配一个来自网络块的地址，该地址将成为网络的网关。您将需要从网络到防火墙的WAN接口（或ISP路由器地址）的默认路由，然后完成。

NAT确实与防火墙无关。防火墙通常只是NAT的便捷位置。如果您不需要，则不需要在网络上进行NAT，而我也不会使用公共地址。

— 罗恩·莫平
source

他的既定目标之一是拥有一个完全独立的网络和防火墙，因此这个答案并不适合。

— 拍拍o。

1

@pato，我的观点，您似乎已经错过了，是可以在一个盒子上实现一个单独的网络，该网络具有自己的防火墙。单个防火墙盒中可以有一个单独的防火墙，用于多个单独的网络。

— 罗恩·莫平

OP指出：“我不希望这两个网络能够互相通话，因为它将具有相同的内部子网和生产机器的克隆。” 可以使用同一物理防火墙来完成此操作吗？

— 拍拍o。

1

@pato。，正确，您可以按照我的描述进行操作。OP的要求没有什么特别的。

— 罗恩·莫平

1

@pato。，实际上，我们在NE上遇到了一个问题，即为什么在同一防火墙盒的不同接口上的两个网络不能互相通信。默认情况下，企业级防火墙应阻止这种情况，如果您要这样做，则必须采取措施允许它。

— 罗恩·莫平

-1

如果您的ISP将这两个范围都路由到您当前的防火墙，则取决于Watchguard型号，您应该能够在不使用其他软件的情况下设置所需的配置。Watchguard真正擅长处理此类问题。听起来您可能在192或203网络方面配置错误，至少在将其用作公共网络方面。您应该在设备上获得至少一年的支持，如果不花一年的时间，则值得他们为您设置此配置的指导。但是首先请他们确认您当前的模型防火墙可以处理您可能期望来自两个网络的配置和流量负载。

关于您的ISP，听起来好像他们只是将第二个网络作用域倾倒在第一个网络作用域之上。无论是谁提供了该服务，当时都可能无法在您的机构中配置两个端点，而将其保留为现在。从他们那里清除出来会很有帮助。这将帮助您与Watchguard讨论您的配置。出于多种原因，我个人仅会使用一个防火墙，一个会用电，但是服务合同以及其他经常性成本和支持需求是另一个原因。除非您确实有其他问题，例如您的开发项目是否由于某种原因（例如，开发网络管理软件）而需要重置设备。或者，如果当前单元的大小不足以支持两个网络的负载。考虑这些问题。

— htm11h
source

为什么在没有评论的情况下投下反对票？这不应该被允许。

— htm11h 2016年