Назад | Перейти на главную страницу

Добавляете второй брандмауэр к ISP-соединению с несколькими подсетями?

Мои знания маршрутизации немного устарели. У меня есть оптоволоконное интернет-соединение, вот так:

Управляемый коммутатор прерывает VLANS для прозрачного сетевого сервиса, который также проходит через сервер провайдера. Я думаю, что это в основном не имеет отношения к этой проблеме, поэтому я исключил его из диаграмм.

У меня две подсети / 29 (на примере адресов из RFC5735):

Брандмауэр имеет все используемые IP-адреса обеих подсетей, добавленных к его интерфейсу WAN, и выполняет NAT для различных серверов.

Теперь я хочу добавить отдельную сеть с собственным брандмауэром за пределами нашего брандмауэра, и ей нужен собственный общедоступный IP-адрес, например:

Я еще не использую 203.0.113.94, поэтому я собирался удалить его из дополнительных адресов на существующем межсетевом экране и передать его новому межсетевому экрану ... но это не сработает, не так ли? В его подсети нет шлюза.

Или я мог бы переставить вещи и дать ему один из адресов 192.0.2.144/29. Будет ли это работать должным образом и позволить обеим сетям нормально работать? Есть лучший способ сделать это?

Я мог бы присоединить новый брандмауэр к существующему, если бы он все еще мог получить реальный общедоступный IP-адрес, а не NAT, но я не знаю, есть ли способ сделать это с брандмауэром Watchguard. Вероятно, потребуется дальнейшее разбиение на подсети, а у меня уже почти закончились IP-адреса.

Новая сеть должна стать нашей тестовой лабораторией (чтобы я, наконец, смог прекратить тестирование в производственной среде!). Я не хочу, чтобы две сети когда-либо могли разговаривать друг с другом, потому что у них будет одна и та же внутренняя подсеть и клоны производственных машин. Мне нужен новый брандмауэр, чтобы иметь общедоступный IP-адрес без NAT.

Я думаю, что лучше всего будет связаться с вашим интернет-провайдером и уточнить, что именно они вам дают с блоком 203.0.113.88/29. Нет причин усложнять ситуацию из-за неопределенности этих IP-адресов.

Самый идеальный сценарий - подключить к этому коммутатору второй брандмауэр и дать ему один из IP-адресов в сети 203.0.113.88/29 со шлюзом по умолчанию в той же сети.

как ваш провайдер может маршрутизировать 203.0.113.88/29 в вашей сети? Почему-то я сомневаюсь, что это так.

Если вы не полностью используете свою сеть 192.0.2.144/29 (или 203.0.113.88/29), вы сможете установить интерфейс на свой коммутатор с одним из IP-адресов в этом диапазоне. Я бы порекомендовал использовать 2 IP-адреса (если они есть). Например:

Switch1:

Интерфейс FaX / X (сюда подключается ваш новый межсетевой экран)

IP-адрес 192.0.2.147 255.255.255.252!

Затем на новом брандмауэре вы поместите

Интерфейс X / X 192.0.2.148 255.255.255.252

Это проясняет вашу потребность в шлюзе по умолчанию, вы также можете поместить на него маску / 29 и использовать тот же шлюз, который в настоящее время используется на вашем коммутаторе.

так, например (допустим, вы используете vlan 20 на своем коммутаторе)

IP-адрес Vlan 20 192.0.2.145 255.255.255.248

интерфейс FaX / X (сюда подключается ваш новый межсетевой экран) switchport access vlan 20

на вашем новом брандмауэре

IP-адрес 192.0.2.147 255.255.255.248

Что касается правила отсутствия связи, вам понадобится отдельная подсеть или ACL на вашем коммутаторе.

Надеюсь это поможет

Я не знаю особенностей вашего брандмауэра, но вот как я бы сделал это практически с любым брандмауэром бизнес-класса, два брандмауэра не нужны:

Положите 203.0.113.88/29 сеть на вашем первом брандмауэре, на отдельном интерфейсе (или субинтерфейсе, если вы можете использовать VLAN), и пусть брандмауэр защищает сети друг от друга. Просто назначьте интерфейсу межсетевого экрана адрес из сетевого блока, и он будет шлюзом для сети. Вам понадобится маршрут по умолчанию из сети к WAN-интерфейсу брандмауэра (или адрес маршрутизатора ISP), и все готово.

NAT действительно не имеет ничего общего с межсетевыми экранами; брандмауэры обычно просто удобное место для NAT. Вам не нужен NAT в сети, если вы этого не хотите, и я бы не стал использовать общедоступные адреса.

Назначение межсетевому экрану лаборатории адреса в пределах 192.0.2.144/29 или 203.0.113.88/29 не будет работать, если он не находится за каким-либо устройством, действующим как шлюз для этого адресного пространства, потому что любое устройство, имеющее этот широковещательный адрес, будет отвечать на запросы ARP.

Вы могли бы назначить адрес восходящего потока вашего брандмауэра Watchdog или вместо того, чтобы Watchdog объявлял сеть / 29, вы можете разбить это / 29 на / 30. Назначьте / 30 одному брандмауэру, а другой / 30 - новому брандмауэру лаборатории, если вам не нужны все 8 адресов хостов в пределах / 29 на одном брандмауэре.

Если ваш интернет-провайдер направляет обе эти области на ваш текущий брандмауэр, вы сможете настроить желаемую конфигурацию без дополнительного программного обеспечения, в зависимости от вашей модели Watchguard. Watchguard отлично справляется с подобными проблемами. Похоже, у вас может быть плохая конфигурация в отношении сети 192 или 203, по крайней мере, с точки зрения использования ее в качестве общедоступной сети. У вас должен быть как минимум один год поддержки устройства, и, если вы не платите за другой, стоит их руководства по настройке этой конфигурации для вас. Но сначала попросите их подтвердить, что ваша текущая модель межсетевого экрана может обрабатывать конфигурацию и нагрузку трафика, которую вы можете ожидать от обеих сетей.

Что касается вашего интернет-провайдера, похоже, что они просто сбрасывают вторую сетевую область поверх первой. Кто бы ни предоставил услугу, вероятно, в то время не смог настроить обе конечные точки на вашем предприятии и оставил все как есть. Получение этого разъяснения от них очень поможет. Это поможет вам обсудить вашу конфигурацию с Watchguard. Лично я бы использовал только один межсетевой экран по ряду причин, например, электрическая нагрузка, но еще одна причина - контракты на обслуживание и другие периодические расходы и потребности в поддержке. Если у вас действительно нет другой проблемы, например, если ваши проекты разработки по какой-то причине требуют перезагрузки устройства, например, разработка программного обеспечения для управления сетью. Или, если текущий блок малоразмерен для работы по поддержке нагрузки обеих сетей. Учтите эти вопросы.