在同一子网中具有公共 IP 的两个站点。欺骗检测

网络工程 路由 联网 声波墙
2022-02-24 01:46:02

我遇到了一个非标准问题,似乎无法找到让它工作的方法。

我有 2 个站点,1 个主要站点和 1 个分支站点。

站点,我有 2 个 ISP,而分支机构只有 1 个 ISP。

我在主站点的二级 ISP 与我在分支站点的二级 ISP相同我在两个站点的防火墙都是声波墙,但问题很可能发生在任何防火墙上。

总结一下我的设置:
Site1 = x1 ISP1, x2 ISP2
Branch = x1 ISP2

另一个事实:
这个 ISP2 总是用 /24 掩码给出静态 IP。

现在来解决这个问题:由于欺骗检测,来自分支机构
的 任何流量都流向总部,因为总部的防火墙希望来自分支机构的流量作为流量进入 x2 接口 (isp2)技术上在同一个子网中。

有什么方法可以在不涉及其他设备进行 NAT 或禁用欺骗检测的情况下使其工作?

注意:
限制子网掩码不起作用,因为 WAN 的网关 IP 是 0.1。

1个回答

这是一个经典的水平分割问题。我不知道在以太网或 sonicwall 上处理会有多容易。

上一次我在几个电缆调制解调器上遇到这个问题时,需要一些创造性的静态路由和伪造的网络掩码来解决它。但这与安全设备无关。在您的情况下,禁用内置的反欺骗并通过 ACL 创建您自己的可能是唯一的方法。(当然,您可能会遇到非对称路由问题,因为“分支”也应该是本地/链路上的。)

你能让 ISP 在每个站点使用不同的块吗?