你说你有 5 个可用的 IP，所以听起来你有一个来自 ISP 的 /29 子网，其中下一跳 IP 是 /29 的一部分。如果您有以太网切换，那么您当然可以使用交换机来突破原始互联网。

我建议您使用单独的交换机而不是使用您的核心交换机进行分线。也不要在交换机上使用原始互联网子网中的 IP 地址配置 SVI，这是主要的攻击媒介，因为黑客现在可以直接从原始互联网访问交换机。如果您需要在本地管理交换机，请创建单独的 VLAN，一个用于 RAW Internet，另一个用于管理。

当然，假设 ISP 呈现为以太网。

作为建议，不要让您的 PC 长时间不受保护地上网；或者，放置另一个防火墙，与现有防火墙平行。

编辑：正如 Marc Luethi 在评论中提醒的那样：我在考虑 ISP 提供以太网的普通情况，主机静态寻址（来自提问者关于分配 5 个地址的声明）。其他机制也很常见，包括 DHCP（取决于 ISP 所做的事情）或 PPPoE 等，这些机制不太直接，并且在很大程度上取决于 ISP。

这完全取决于您的 ISP 如何呈现这 5 个 IP。

ISP 可以通过多种方式通过以太网或类似以太网的接口向您提供 IP。

他们可以在不指定下一跳的情况下将 IP 路由到接口，在这种情况下，他们的路由器将为每个 IP 单独进行 arp（或 ND 用于 IPv6），您可以使用交换机进行 spli。

或者，他们可以将所有 IP 路由到单个网关 IP（通常从单独的子网到您的主块），在这种情况下，您需要一个第 3 层设备将它们拆分，因为所有这些 IP 的流量都将发送到 MAC与网关 IP 关联的地址。

他们也可以使用 PPPoE，在这种情况下，很可能所有 IP 都将被路由到单个 PPPoE 客户端，但如果您询问他们，他们可能能够支持多个单独的 PPPoE 会话。