Наш провайдер предоставляет блок IP-адресов /27. Я хочу назначить 5 IP для одного брандмауэра, 1 IP для другого брандмауэра.

Межсетевой экран с 5 IP-адресами будет Sophos XG - 1 IP будет использоваться для внутренней сети, а остальные 4 будут назначены DMZ. Я предполагаю, что я могу сделать 1:1 NAT для них, так что каждый хост в DMZ может иметь свой собственный IP для таких сервисов, как www, ftp и т.д.

Моя мысль заключалась в том, чтобы поместить что-то перед обоими межсетевыми экранами, чтобы иметь возможность назначать пространство IP.

ISP -> SWorRTR -> FW1 -> Internal
                      -> DMZ
               -> FW2 -> Service

Будет ли работать тупой переключатель или мне понадобится что-то вроде переключателя L3? Будет ли лучше использовать роутер?

Насколько я понимаю, маршрутизаторы предлагают больше возможностей, но маршрутизация медленнее, тогда как коммутатор L3 может кэшировать пакеты в таблице маршрутов.

|источник

2 ответа2

1

IP-адрес используют только для управления. Это не влияет на переключение. Лучшее использование частного адреса и отдельного порта (или VLAN) для управления (больше безопасности).

Использовать ли маршрутизатор или коммутатор на границе поставщика услуг, обычно это определяется способом доставки вам диапазона IP-адресов.

Диапазон адресов, который поставщик предоставляет вам с "восходящим шлюзом", и никакая конфигурация маршрутизации на вашем конце не должна иметь подключение второго уровня к шлюзу (или имитировать как таковое; см. Прокси-ARP) для потоковой передачи пакетов.

Когда пакет попадает в вышестоящий маршрутизатор, он предполагает, что адрес назначения находится в локальном сегменте L2, и просто пропустит ARP для него. Это означает, что вам нужен коммутатор (или другая сеть L2) для всех потребителей адресного пространства. Это не означает, что все должно быть подключено напрямую, хотя - если вы установите маршрутизатор на своем конце и запустите на нем Proxy ARP, вы все равно можете выполнить фильтрацию L3 (межсетевой экран) для трафика, прежде чем он попадет в пункт назначения; у вас просто более сложная и сложная для отладки сетевая среда. Надеюсь, это может помочь!

|источник
0

Насколько я понимаю, маршрутизаторы предлагают больше возможностей, но маршрутизация медленнее, тогда как коммутатор L3 может кэшировать пакеты в таблице маршрутов.

Правильный! Маршрутизатор используется для маршрутизации пакетов IP между различными сетями L2.(ATM, Ethernet, последовательный порт и т.д.) Коммутатор L3 является коротким для Коммутатора L3 Ethernet, что означает, что он может только обмениваться кадрами Ethernet. NAT, IPsec и многие другие функции не поддерживаются коммутатором L3.

Будет ли работать тупой переключатель или мне понадобится что-то вроде переключателя L3? Будет ли лучше использовать роутер?

С моей точки зрения, NAT будет более распространенным. Эти IP-адреса могут совместно использоваться несколькими службами. Обычно брандмауэр должен иметь возможность настроить PAT для сопоставления внутренних служб с конкретным портом внешнего IP-адреса.

Надеюсь это поможет.

|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .