В последние годы мы использовали межсетевой экран Sonicwall PRO 2040 в относительно небольшой среде хостинга. Но мы хотим перейти на более быстрый компьютер, который также поддерживает IPv6, и, желательно, мы хотели бы остаться с Sonicwall (так как он хорошо нам служил на протяжении многих лет) и перейти на NSA 2400.
Все это время мы запускали этот межсетевой экран в так называемом «прозрачном режиме». Таким образом, брандмауэр полностью прозрачен для сети (то есть серверов) за брандмауэром, но все же брандмауэр защищает сеть. Серверы, которые находятся за брандмауэром, настроены так, как будто брандмауэра нет, например адрес шлюза - это адрес маршрутизатора за пределами брандмауэра. Это в сочетании с VLAN (*), позволяет нам размещать каждый сервер отдельно друг от друга наиболее прозрачным для клиентов способом.
(*) Пояснение: В брандмауэре мы создали виртуальные интерфейсы для каждого сервера и пометили его VLAN. Все эти виртуальные интерфейсы используют один физический интерфейс, подключенный к коммутатору. Этот коммутатор также настроен на эти VLAN и разделяет весь трафик на отдельные физические порты. Например. трафик для VLAN 5 идет только на физический порт 5, трафик для VLAN 8 идет только на физический порт 8 и т. д. Единственный общий порт - это порт, к которому подключен межсетевой экран. Это гарантирует, что серверы не могут напрямую связываться друг с другом, только через брандмауэр, даже если они находятся в одном сетевом пространстве IP.
Теперь, когда мы переходим на новое пространство IP-адресов и также хотим поддерживать IPv6, мы пересматриваем наше решение. Одна из причин этого заключается в том, что поддержка прозрачного режима для IPv6 кажется очень редкой или вообще отсутствует. Поэтому, если мы хотим поддерживать IPv6, мы должны использовать режим маршрутизации. При этом возникают всевозможные вопросы, и, надеюсь, некоторые из них могут помочь мне с некоторыми мнениями и / или ответами.
Используется ли маршрутизированный или прозрачный режим для IPv4 чаще?
Можем ли мы использовать прозрачный режим в IPv4 и использовать режим маршрутизации в IPv6, или мы должны использовать режим маршрутизации и в IPv4?
При использовании режима маршрутизации, если наш диапазон IP-адресов составляет XXX0 / 26 (т. Е. 64 последовательных IP-адреса), а шлюз центра обработки данных, который мы должны использовать, - XXX1, нужно ли затем поместить WAN межсетевого экрана на XXX2, а внутренний порт - на XXX3, а затем настроить серверы на использование XXX3 в качестве адреса шлюза?
Верно ли, что в маршрутизируемом режиме межсетевому экрану всегда требуется минимум два IP-адреса (для внутреннего и внешнего интерфейсов), тогда как в прозрачном режиме межсетевому экрану требуется только один IP-адрес (WAN)?
Сможем ли мы по-прежнему разделить все серверы, поместив их все в их собственную VLAN, требуя, чтобы весь трафик между серверами проходил через брандмауэр? Если да, то какой должна быть маска подсети? Т.е. чего мы не хотим делать, так это помещать каждый сервер в его собственный сегмент IP-сети, поскольку это будет стоить нам 4 IP-адреса на сервер (сеть, широковещательная передача, шлюз и сам сервер).
Есть ли преимущества в использовании режима маршрутизации перед прозрачным режимом? Или наоборот?
Я копаю ваш существующий дизайн, но он может быть не масштабируемым, и если вы начнете виртуализировать, ваша сегментация сожжет много портов. Вы можете добиться этого с помощью транкинга и тегирования, возможно, в будущем.
Теперь отвечу на ваши вопросы:
1) И маршруты, и прозрачный режим являются обычными развертываниями, это обычно зависит от того, какое оборудование маршрутизации у вас есть и каковы ваши потребности NAT.
2) Я не думаю, что вы могли бы их смешать.
3) При использовании режима маршрутизации, если вам предоставлен / 26 в качестве подключенной сети от провайдера, межсетевые экраны будут принимать три адреса в вашем публичном сегменте. Один уникальный для каждого межсетевого экрана и виртуальный, который они будут передавать туда и обратно в сценарии высокой доступности. Вам нужно будет использовать частные IP-адреса и использовать преобразование адресов, чтобы сделать эту работу. Однако, если провайдер подключается к вам через сеть / 29 и МАРШРУТЫ, которые вместо этого / 26 к вам, то вы можете подключиться к сети / 29, а затем использовать / 26 на внутренних интерфейсах.
4) Межсетевым экранам, вероятно, потребуется по 3 IP-адреса с каждой стороны. Один уникальный для каждого и третий для отработки отказа VRRP. В прозрачном режиме вам действительно нужен только один внутренний IP-адрес для каждого узла, только для управления.
5) Вам придется использовать аналогичную технику, но поскольку вы теперь используете пары высокой доступности, количество кабелей удвоится. Вместо этого вам может быть лучше использовать теги VLAN и субинтерфейсы, но это также может вызвать перегрузку кабеля для трафика между серверами.
6) У обоих методов есть свои преимущества: прозрачный режим может быть приятным, потому что вам не нужно иметь дело с NAT, но есть ограничения на то, чем вы можете манипулировать, потому что вы не можете принимать столько решений L3 / L4 или маршрутизировать трафик в другое место, потому что вы вообще не могу его направить.