Перемикач проти маршрутизатора для декількох IP-адрес WAN

0

Наш провайдер надає блоку IP / 27. Я хочу призначити 5 IP для одного брандмауера, 1 IP на інший брандмауер.

Брандмауер з 5 IP буде Sophos XG - 1 IP буде використовуватися для внутрішньої мережі, а інші 4 будуть призначені DMZ. Я здогадуюсь, що я можу зробити 1: 1 NAT для цього так що кожен хост в DMZ може мати свій власний IP natted для послуг, таких як www, ftp і т.д.

Моя думка полягала в тому, щоб поставити щось перед обома брандмауерами, щоб мати можливість призначити простір IP.

ISP -> SWorRTR -> FW1 -> Internal
                      -> DMZ
               -> FW2 -> Service

Чи буде німий перемикач працювати, або мені потрібно щось на зразок L3-перемикача? Чи буде краще використовувати маршрутизатор?

З мого розуміння маршрутизатори пропонують більше можливостей, але маршрутизація йде повільніше, тоді як L3-комутатор може кешувати пакети в таблиці маршрутів.

networking router firewall

— debianuse1
джерело

1

Терміни "маршрутизатор" і "комутатор L3" дуже взаємозамінні. Днів їхнього вікна з назвою "маршрутизатор", що тільки маршрути і коробка з позначкою "перемикач", що тільки комутатори ледь ще пам'яті.

— David Schwartz

1

IP-адреса використовується тільки для управління. Це не впливає на перемикання. Краще використовувати приватну адресу і окремий порт (або VLAN) для управління (більше безпеки).

Використовувати маршрутизатор або комутатор на краю постачальника послуг, як правило, диктується способом доставки IP-діапазону.

Діапазон адрес, який постачальник надає вам "шлюзом вгору по потоку", а конфігурація маршрутизації у вашому кінці не повинна мати підключення двох шарів до шлюзу (або моделюватися як таке; cf Proxy ARP) для того, щоб пакети проходили.

Коли пакет потрапляє у вихідний маршрутизатор, він припускає, що адреса призначення знаходиться на локальному L2-сегменті, і буде просто віддалятися ARP для нього. Це означає, що потрібно мати комутатор (або іншу мережу L2) для всіх споживачів адресного простору. Це не означає, що все повинно бути безпосередньо підключене, хоча - якщо ви помістіть маршрутизатор у ваш кінець і запустите Proxy ARP на ньому, ви все одно зможете виконати фільтрацію L3 (firewalling) на трафіку, перш ніж він потрапить до місця призначення; ви просто маєте більш складне і важке для налагодження мережеве середовище. Сподіваюся, що це може допомогти!

— Mark Twain
джерело

Моя думка полягала у створенні VLAN для кожного порту, до якого б приєднувався брандмауер, і до маршрутизації до провайдера. Потім виділили порт на комутаторі з керуючим VLAN, і підключили його до комутатора на іншій стороні брандмауера, щоб я міг керувати ним. Потім вимкніть можливості конфігурації WAN, щоб ніхто ззовні не міг внести зміни.

— debianuse1

0

З мого розуміння маршрутизатори пропонують більше можливостей, але маршрутизація відбувається повільніше, тоді як L3-комутатор може кешувати пакети в таблиці маршрутів.

Правильно! Маршрутизатор використовується для маршрутизації IP-пакетів між різними мережами L2 (ATM, Ethernet, Serial і т. Д.) L3-комутатор є коротким для комутатора L3 Ethernet, що означає, що він може обмінюватися лише кадрами Ethernet. NAT, IPsec і багато функцій не підтримуються перемикачем L3.

Чи буде німий перемикач працювати, або мені потрібно щось на зразок L3-перемикача? Чи буде краще використовувати маршрутизатор?

З моєї точки зору, NAT буде більш поширеним явищем. Ці IP-адреси можуть спільно використовувати кілька служб. Як правило, брандмауер повинен мати можливість налаштувати PAT для відображення внутрішніх служб у певний порт зовнішньої IP-адреси.

Сподіваюся, що це допомагає.

— Steven Lee - MSFT
джерело