Porównaj ceny domen i usług IT, sprzedawców z całego świata

Dodajesz drugą zaporę ogniową do połączenia z wieloma podsieciami usługodawcy internetowego?


Moja wiedza na temat routingu jest trochę nieaktualna. Mam światłowodowe łącze internetowe, takie jak to:

Zarządzany przełącznik przerywa sieci VLAN w celu zapewnienia przezroczystej usługi sieciowej, która również przechodzi przez serwer dostawcy. Myślę, że w większości nie ma to związku z tym problemem, więc wykluczyłem go ze schematów.
Mam dwie podsieci/29 (na przykład adresy z

RFC5735
https://tools.ietf.org/html/rfc5735
):
  • 192.0.2.144/29 (.144-151) - główny. Nasza brama to 192.0.2.145, a główny adres zapory to 192.0.2.146.
  • 203.0.113.88/29 (.88-.95) to druga podsieć, która nie ma bramy i jest kierowana przez dostawcę usług internetowych do pierwszej (myślę, że to jest ta część, w której się pomyliłem).

Zapora posiada wszystkie możliwe do wykorzystania adresy IP obu podsieci dodane do interfejsu WAN i wykonuje translację NAT na różnych serwerach.
Teraz chcę dodać oddzielną sieć z własną zaporą ogniową poza naszą zaporą ogniową i potrzebuje ona własnego publicznego adresu IP, na przykład:

Nie używam jeszcze 203.0.113.94, więc zamierzałem usunąć go z dodatkowych adresów na istniejącej zaporze i przekazać do nowej zapory ... ale to nie zadziała, prawda? W jego podsieci nie ma bramy.
Albo mógłbym zmienić kolejność rzeczy i nadać mu jeden z adresów 192.0.2.144/29. Czy to zadziała zgodnie z oczekiwaniami i pozwoli na prawidłowe działanie obu sieci? Czy jest lepszy sposób, aby to zrobić?
Mógłbym podłączyć nową zaporę ogniową do istniejącej, gdyby nadal mogła uzyskać prawdziwy publiczny adres IP, a nie NAT, ale nie wiem, czy istnieje sposób, aby to zrobić za pomocą zapory ogniowej Watchguard. Prawdopodobnie będą potrzebne dalsze podsieci, a adresy IP są prawie wyczerpane.
Nowa sieć powinna być naszym laboratorium testowym (abym mógł wreszcie przestać testować w środowisku produkcyjnym!). Nie chcę, aby te dwie sieci kiedykolwiek mogły ze sobą rozmawiać, ponieważ będą miały tę samą wewnętrzną podsieć i klony maszyn produkcyjnych. Potrzebuję nowej zapory, aby mieć publiczny adres IP bez NAT.
Zaproszony:
Anonimowy użytkownik

Anonimowy użytkownik

Potwierdzenie od:

Myślę, że najlepiej byłoby skontaktować się z dostawcą usług internetowych i dokładnie wyjaśnić, co oferują w bloku 203.0.113.88/29. Nie ma powodu, aby komplikować sprawę niejednoznacznością tych adresów IP.
Najbardziej idealnym scenariuszem jest podłączenie drugiej zapory ogniowej do tego przełącznika i nadanie mu jednego z adresów IP w sieci 203.0.113.88/29 z bramą domyślną w tej samej sieci.
Anonimowy użytkownik

Anonimowy użytkownik

Potwierdzenie od:

w jaki sposób Twój dostawca usług internetowych może skierować numer 203.0.113.88/29 w Twojej sieci? Z jakiegoś powodu wątpię, że tak jest.
Jeśli nie wykorzystujesz w pełni swojej sieci 192.0.2.144/29 (lub 203.0.113.88/29), będziesz mógł zainstalować interfejs na swoim przełączniku z jednym z adresów IP z tego zakresu. Zalecałbym użycie 2 adresów IP (jeśli są dostępne). Na przykład:
Switch1:
Interfejs FaX/X (w tym miejscu łączy się nowa zapora)
Adres IP 192.0.2.147 255.255.255.252!
Następnie umieść nową zaporę sieciową
Interfejs X/X 192.0.2.148 255.255.255.252
To eliminuje potrzebę korzystania z bramy domyślnej, możesz również umieścić na niej maskę/29 i użyć tej samej bramy, która jest obecnie używana w przełączniku.
więc na przykład (powiedzmy, że używasz vlan 20 na swoim przełączniku)
Adres IP Vlan 20 192.0.2.145 255.255.255.248
Interfejs FaX/X (tutaj łączy się twoja nowa zapora) switchport access vlan 20
na nowej zaporze
Adres IP 192.0.2.147 255.255.255.248
Jeśli chodzi o regułę braku łącza, będziesz potrzebować oddzielnej podsieci lub listy ACL na swoim przełączniku.
Mam nadzieję że to pomoże
Anonimowy użytkownik

Anonimowy użytkownik

Potwierdzenie od:

Nie znam szczegółów twojej zapory, ale tak bym to zrobił z prawie każdą zaporą klasy biznesowej, dwie zapory nie są potrzebne:
Położyć
         203.0.113.88/29
sieć na pierwszej zaporze, na oddzielnym interfejsie (lub podinterfejsie, jeśli możesz używać sieci VLAN) i pozwól, aby zapora chroniła sieci przed sobą. Po prostu przypisz adres z bloku sieciowego do interfejsu zapory sieciowej, a będzie to brama do sieci. Będziesz potrzebować domyślnej trasy z sieci do interfejsu WAN zapory (lub adresu routera dostawcy usług internetowych) i gotowe.
NAT naprawdę nie ma nic wspólnego z zaporami ogniowymi; zapory ogniowe są zwykle wygodnym miejscem dla NAT. Nie potrzebujesz NAT w sieci, jeśli nie chcesz, i nie używałbym adresów publicznych.
Anonimowy użytkownik

Anonimowy użytkownik

Potwierdzenie od:

Przypisanie adresu z zakresu 192.0.2.144/29 lub 203.0.113.88/29 do zapory w laboratorium nie zadziała, chyba że będzie znajdować się za jakimś urządzeniem działającym jako brama dla tej przestrzeni adresowej, ponieważ każde urządzenie, które ma ten adres rozgłoszeniowy, będzie odpowiadać na ARP upraszanie.
Możesz przypisać adres nadrzędny swojej zapory ogniowej Watchdog lub zamiast tego, aby Watchdog rozgłaszał sieć/29, możesz podzielić to/29 na/30. nie potrzebuje wszystkich 8 adresów hostów w/29 na tej samej zaporze.
Anonimowy użytkownik

Anonimowy użytkownik

Potwierdzenie od:

Jeśli Twój dostawca usług internetowych kieruje oba te obszary do bieżącej zapory, będziesz mógł dostosować żądaną konfigurację bez dodatkowego oprogramowania, w zależności od modelu Watchguard. Watchguard doskonale radzi sobie z tymi problemami. Wygląda na to, że masz złą konfigurację sieci 192 lub 203, przynajmniej jeśli chodzi o używanie jej jako sieci publicznej. Powinieneś mieć co najmniej rok wsparcia dla urządzenia, a jeśli nie zapłacisz za kolejny, warto ich przewodników, aby skonfigurować tę konfigurację za Ciebie. Najpierw jednak poproś ich, aby potwierdzili, że Twój obecny model zapory może obsłużyć konfigurację i obciążenie ruchem, którego możesz oczekiwać od obu sieci.
Jeśli chodzi o Twojego dostawcę usług internetowych, wygląda na to, że po prostu zrzucają drugi obszar sieci na pierwszy. Ktokolwiek dostarczył usługę, prawdopodobnie nie był w stanie skonfigurować obu punktów końcowych w przedsiębiorstwie w tym czasie i pozostawił je bez zmian. Uzyskanie od nich tego wyjaśnienia bardzo pomoże. Pomoże ci to omówić konfigurację z Watchguard. Osobiście użyłbym tylko jednej zapory z wielu powodów, takich jak obciążenie elektryczne, ale innym powodem są umowy serwisowe i inne powtarzające się koszty i potrzeby wsparcia. Chyba że naprawdę masz inny problem, na przykład jeśli projekty programistyczne wymagają z jakiegoś powodu ponownego uruchomienia urządzenia, na przykład tworzenia oprogramowania do zarządzania siecią. Lub, jeśli obecny blok jest mały, aby obsługiwać obciążenie obu sieci. Rozważ te pytania.

Aby odpowiedzieć na pytania, Zaloguj się lub Zarejestruj się