Я работаю над сетевым проектом, в котором мне нужно спроектировать нашу сеть, чтобы обеспечить две разные точки выхода. Точки различаются по пути через корпоративную сеть. Один из них проходит через какое-то оборудование для мониторинга, а другой - нет. В качестве шлюза мы используем Firebox Watchguard. В настоящее время сетевая сторона предоставляет неконтролируемую точку выхода. Мне было интересно, если бы я подключил дополнительный порт к нашей локальной сети в точке, которая заставит трафик проходить через отслеживаемый путь, вызовет ли это какие-либо проблемы? Доступ к неконтролируемому порту шлюза будет ограничен по ip. Это заставит всех остальных, не авторизованных, указывать на контролируемый порт шлюза.
Я подумал, что с описанным выше дизайном я смогу обойтись без необходимости покупать еще одну топку для достижения желаемого дизайна.
Спасибо д
Мне было интересно, если бы я подключил дополнительный порт к нашей локальной сети в точке, которая заставит трафик проходить через отслеживаемый путь, вызовет ли это какие-либо проблемы?
Вы не сможете назначить необязательному порту IP-адрес в вашей локальной сети, он должен быть в отдельной подсети. Я думаю, что единственный способ обойти это - сделать их мостовым интерфейсом с первичным и вторичным IP-адресами, хотя это будет означать, что оба физических соединения будут прослушивать оба адреса, и будет означать, что вы не можете брандмауэр между двумя портами и может зависеть от версии программное обеспечение, которое запускает ваш Firebox.
Я не совсем понимаю, что вы подразумеваете под форсировкой разных выходов - похоже, что вам нужны две отдельные сети, но без необходимости создавать две отдельные сети, и это звучит как что-то вроде решения уловки. Имейте две отдельные сети, и вы можете назначать разные шлюзы по DHCP.
Это должно быть достижимо (хотя я никогда не пробовал). Я не совсем понимаю, как вы используете термин «сетевая сторона». Все порты брандмауэра являются «сторонами сети», предназначенными для подключения к разным «сетям», таким как доверенная сеть, дополнительная сеть, внешняя сеть и т. Д.
Назначьте действительный IP-адрес дополнительному порту и установите шлюз DG в качестве IP-адреса дополнительного интерфейса на клиентах, которые должны выходить через дополнительный интерфейс.
Дополнительный интерфейс обычно предназначен для использования в качестве сети DMZ, но не ограничивается этим использованием.
РЕДАКТИРОВАТЬ:
Виноват. Я не уточнил в своем ответе достаточно подробностей. Вы можете сделать это, но для этого потребуется поместить дополнительный интерфейс и клиентов, которые должны использовать дополнительный интерфейс в качестве своего DG, в подсети, отличной от доверенного интерфейса.