我正在努力检查我对同事的网络规划练习缺乏了解。这对我来说没有意义，但也许我错过了一些东西。我的一般网络知识还不错，但我没有特定于供应商的知识。

我们目前有一个消费级 Draytek 路由器，它提供 DHCP 和 NAT，就像任何家庭宽带连接一样。我们的 WAN 连接是通过以太网电路作为小型 /30 “见我”网络提供的，内部有一个私有 /24 包含所有主机。

他打算保留 Draytek 路由器，但在其后面放置一个 Checkpoint 防火墙。

Checkpoint 防火墙将为多个 VLAN 执行 NAT，这将允许不同的用户组通过端口上带有 VLAN 去标记的托管交换机相互分离。

Checkpoint 的“外部”和 Draytek 的“内部”之间将有一个桥接 LAN。

设置将是这样的（粉色框是一个 IP 数据包，稍后解释）：

所以，我的第一个问题：为什么要保留 Draytek 和双 NAT 的出站流量？

还需要从公共 IP（即：端口映射）到几个内部主机的入站 NAT。

目前，Draytek 处理入站 NAT，并将在外部接口上拥有公共 IP，但他打算让 Checkpoint 处理入站 NAT。

他声称 Draytek 可以配置为根据目标端口选择性地转发传入数据包（图中的粉红色数据包），而无需修改源/目标 IP 或硬件地址到检查点，然后检查点将对内部设备执行入站 NAT .

这对我来说没有任何意义。据我了解，Checkpoint 然后将接收带有 Draytek 的外部接口 MAC 地址和 IP 的数据包，它将 NAT 到内部设备。

我也无法计算出 NAT 流量的反向路径，或者如何/什么跟踪翻译。

第二个问题：这怎么可能奏效？

他声称这是“标准做法”，但无法详细解释。如果 Draytek 做不到，他说他会买一台 Cisco 来代替它。我偷偷怀疑他不知道他在说什么，还是我错过了什么？

任何人都可以帮助解释他在这里想要实现的目标吗？提前谢谢了。